Bugku-简单取证1

题目有一个附件

下载附件解压后发现，是一个文件夹，通过分析为c:/windows/system/config

因为有SAM和SYSTEM文件，尝试使用mimikatz读取

lsadump::sam /sam:SAM /system:SYSTEM

到CMD5解密

提交flag
flag{administrator-QQAAzz_forensics}