WMCTF2021-Flag Thief WP

考点

• e01镜像仿真
• VMware Tools 文件复制缓存泄露
• Mctsc 缓存泄露
• 安卓模拟器镜像仿真还原
• Android 7 锁屏密码绕过与破解

详解

本题改编自真实取证案例，曾在之前某次大型取证比赛中出现过类似考点但零解（

e01镜像是目前取证中最常用的镜像格式，在制作过程中进行校验与压缩，兼具了速度与完整性两方面，对于e01镜像仿真最简单的方式就是直接将其作为物理盘挂载到本地，可以用工具 AccessData FTK Imager，挂载后我们简单翻一翻文件内容，可以看到安装了 VMware Tools，在路径

\Program Files\VMware\VMware Tools

本机与安装了 VMware Tools 的虚拟机之间进行文件复制操作，VMware Tools 会先将文件传到虚拟机的指定路径下，再对文件进行虚拟机内的复制操作（说点题外话：任何你通过 Vmware Tools 复制进虚拟机的文件在虚拟机中都会存两份，如果不定期对复制文件缓存进行清理，就会很占存储空间，Linux 系统的缓存在用户根目录的隐藏文件夹 .cache/vmware/drag_and_drop/ 下）

\Users\WMCTF\AppData\Local\Temp\vmware-WMCTF\VMwareDnD

在此路径下可以找到两个文件，一个安装包和一个文件名为32位字符串的不知道什么文件，尝试在线解32位hash

得到明文 secret，很明显和题目相关，暂时保存下来，继续寻找其他敏感数据

在此路径下可以看到有个 Terminal Server Client 文件夹，是使用 windows 自带的远程桌面控制留下的缓存数据（如果没有对其他电脑进行过远程则此文件夹不会存在）

\Users\WMCTF\AppData\Local\Microsoft

在 Cache 文件夹下有3个bin文件，是针对 win7 以及更高版本的系统进行远控留下的位图缓存数据，可以从中恢复出图像

简单解析一下bin文件，每个bin文件都有固定的12字节文件头

前8个字节为固定字符串 RDP8bmp

后四个字节是版本号

接下来是每个区块图像的文件头，共12字节

前8个字节是图片hash值

后4个字节分别是图片的宽度（40 00）和高度（40 00）

每个区块图像都是32位深度，占用16384 bytes，可以自行将每个图片数据提取出来补上文件头，即可得到一张bmp图像，也可以写脚本批量提取生成一下，在此提供一个 Github 上的项目：https://github.com/ANSSI-FR/bmc-tools

把3个bin文件全都恢复出来，在恢复出来的图片中可以找到一些包含字符串的重要图片，自行拼图恢复一下可以得到

提示了 VMware Tools 以及 VeraCrypt 容器密码，用此密码可以挂载 secret ，得到一个 vmdk 文件，文件名为 nox-disk2，搜索 nox 可以得知是一个名为夜神的安卓模拟器，下载模拟器后可以将 vmdk 文件导入，导入后打开发现有锁屏密码，在模拟器右上角查看系统信息，可以得知安卓版本

对于 Android 6.0~8.0 版本的锁屏密码相关信息，在手机中的路径如下

/data/system/gatekeeper.pattern.key
/data/system/gatekeeper.password.key
/data/system/device_policies.xml

采用的加密算法是 scrypt-hash

本题采用的是手势图案锁加密，用到 gatekeeper.pattern.key 文件，打开虚拟机后可以用 nox 自带的 adb 连 shell，将文件 pull 下来

.\adb.exe pull /data/system/gatekeeper.pattern.key C:\Users\13760\Desktop\out

device_policies.xml 文件中写有密码的配置信息

可以看到密码长度是 9，即手势图案用到了9个点

生成一个9位数字的字典，然后写脚本爆破，大概要爆20~30min，即可得到密码（脚本可见参考文章）

解锁后可以在通讯录里找到加密的 flag，备注写了锁屏密码，用锁屏密码解密 aes 即可得到最终的 flag

参考文章

• Cracking gatekeeper.pattern.key
• Windows 取证之BMChache
• 从mstsc缓存恢复图像