2022 巅峰极客 网络安全技能挑战赛

    将得到的附件直接foremost分解得到

    用Volatility分析内存镜像，扫描内存

镜像当中的文件找到

    根据地址信息dump出来得到  gift.jpg

    wechat.txt

    很明显gift.jpg的高度有问题，修改高度得到

    这应该就是之前得到的压缩包密码了，解压反馈密码不正确，把空格替换为下划线后解压成功得到

    尝试解密失败后，百度搜索到有关微信加密数据库的信息，结合推测乱码的wechat.txt是微信的缓存数据文件，而这个gift则是解密数据库的密码。

    使用WeChatUserDB（项目地址：https://github.com/x1hy9/WeChatUserDB）

    解密数据库文件

    将wechat.txt后缀改为db后放入文件夹WIN_WECHAT_DB内，解密wechat数据库文件：

    成功解密wechat数据库文件

    打开DECRYPT_WIN_WECHAT_DB

查看解密后的数据库文件，搜索flag得到

    flag{The_Is_Y0ur_prize} 

    x给出来了？？？直接解

flag{b7f209df-1284-4bdf-b030-28197483c47b}

尝试搜索flag，ctf等字段  在搜索到ctf字段时发现：

发现有一串密文，Base64解一下

根据题目：

    判断这是一个powershell加密

根据解出的密文：

    找到passphrase的值

F844A6035CF27CC4C90DFEAF5793

98BE6F7D5ED10270BD12A661DAD0

4191347559B82ED546015B07317000

D8909939A4DA7953AED8B83C0FEE

4EB6E120372F536BC5DC39

    搜索 secret，找到另一串密文的值

    百度找了一下关于powershell，convertto-securestring解密

（https://www.cnblogs.com/unicodeSec/p/1

2183174.html找到一篇利用python进行解密的

    除了key这里其他都一样  改一下key的base64加密

Key为前24位：

    F844A6035CF27CC4C90DFEAF 

最后的payload：

    运行exp得到最后的flag

flag{Y0u_Are_thE_Master_0f_powershell}