[OtterCTF 2018]取证系列 WriteUp by MiguoQAQ

最新推荐文章于 2024-07-11 10:45:01 发布

MiguoQAQ

最新推荐文章于 2024-07-11 10:45:01 发布

阅读量930

点赞数 17

分类专栏： CTF|Forensics 文章标签：安全

本文链接：https://blog.csdn.net/2301_76328911/article/details/137048433

版权

CTF|Forensics 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

[OtterCTF 2018]取证系列

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' imageinfo

在这里插入图片描述

What the password?

在这里插入图片描述

vol.py --plugin=/usr/lib/python2.7/dist-packages/volatility/plugins/ -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 mimikatz

在这里插入图片描述

MortyIsReallyAnOtter

NSSCTF{MortyIsReallyAnOtter}

General Info

在这里插入图片描述

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 hivelist

在这里插入图片描述

主机名会储存在\REGISTRY\MACHINE\SYSTEM中的ControlSet001\Control\ComputerName\ComputerName条目中

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

在这里插入图片描述

WIN-LO6FAF3DTFE

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 netscan

在这里插入图片描述

192.168.202.131

NSSCTF{WIN-LO6FAF3DTFE-192.168.202.131}

Play Time

在这里插入图片描述

分析一下进程

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 pslist

在这里插入图片描述

提示是old videogames，找到一个进程LunarMS.exe应该是一个日本古老游戏露娜

在这里插入图片描述

LunarMS

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 netscan

在这里插入图片描述

找到这个游戏对应的ip：77.102.199.102

NSSCTF{LunarMS-77.102.199.102}

Silly Rick

提示：He always copy and paste the password so he will not get it wrong.

总是复制粘贴，所以看看他的剪贴板

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 clipboard

在这里插入图片描述

M@il_Pr0vid0rs

NSSCTF{M@il_Pr0vid0rs}

Name Game

在这里插入图片描述

之前看到过了那个游戏的进程，dump下来

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 memdump -p 708 -D '/home/kali/Desktop/Game'

在这里插入图片描述

使用linux内置字符串查找

strings '/home/kali/Desktop/Game/708.dmp' | grep "Lunar-3" -C 20

string使用参数：-C<显示行数> 或 --context=<显示行数>或-<显示行数> : 除了显示符合样式的那一行之外，并显示该行之前后的内容。

在这里插入图片描述

在其之后找到了一个可疑的字符串：0tt3r8r33z3

NSSCTF{0tt3r8r33z3}

Hide And Seek

在这里插入图片描述

查看进程树

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 pstree

在这里插入图片描述

vmware-tray.exe是Rick And Morty的子进程，十分可疑

同时检测和分析内存中的恶意软件特征也可以找到这个文件

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 malfind

在这里插入图片描述

NSSCTF{vmware-tray.exe}

Name Game 2

在这里插入图片描述

使用游戏进程dump下来的文件

0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2}，只需要找5A 0C 00 00并且前面对应的地方

扔进010搜索

在这里插入图片描述

M0rtyL0L

NSSCTF{M0rtyL0L}

Path To Glory

在这里插入图片描述

刚刚进行检测和分析内存中的恶意软件特征时也看见了这个文件

在这里插入图片描述

这是一个种子传输的程序，猜测古老获取病毒的方式是种子传输

找到这个恶意文件的父进程的下载路径

在这里插入图片描述

把这几个文件都dump下来看看

在这里插入图片描述

再寻找一下可疑信息

在这里插入图片描述

一个可疑的字符串：M3an_T0rren7_4_R!cke

NSSCTF{M3an_T0rren7_4_R!ck} 注意！提交flag的时候没有最后面的e！

Bit 4 Bit

在这里插入图片描述

把那个可疑进程dump出来

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 pslist

在这里插入图片描述

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 procdump -p 3720 -D '/home/kali/Desktop/Game'

在这里插入图片描述

看看文件成分

在这里插入图片描述

这个病毒是.NET写的

使用dnSpy打开

在这里插入图片描述

在隐藏资源的Form3找到了地址

1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M

NSSCTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}

Graphic’s For The Weak

在这里插入图片描述

图片有点可疑，打开之前dump下来的文件

在里面发现了疑似png文件的格式

在这里插入图片描述

直接binwalk解了

在这里插入图片描述

CTF{S0_Just_M0v3_Socy}

NSSCTF{S0_Just_M0v3_Socy}

Path To Glory 2

在这里插入图片描述

刚刚那个病毒是通过种子下载的，加之之前看到了很多chrome进程，所以从chrome记录入手

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 filescan |grep -i "chrome.*history*"

在这里插入图片描述

把得到的信息dump下来

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 dumpfiles -Q 0x000000007d45dcc0 -D '/home/kali/Desktop/Game'

在这里插入图片描述

这是一个数据库文件

在这里插入图片描述

种子是在mail.com里面下载的，所以过滤相关信息

trings /home/kali/Desktop/OtterCTF.vmem > /home/kali/Desktop/OtterCTF.vmem.strings

grep "@mail.com" '/home/kali/Desktop/OtterCTF.vmem.strings'

在这里插入图片描述

这个看起来像是邮箱地址，附近应该还有东西，过滤的范围应该更大一些

grep -A 20 "<rickopicko@mail.com>" '/home/kali/Desktop/OtterCTF.vmem.strings'

在这里插入图片描述

这就是flag*~~（这谁找得到啊）~~*

Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in

NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}

Recovery

在这里插入图片描述

找出密码是什么，依然用dnSpy打开勒索病毒查看伪代码

在这里插入图片描述

密码组成有一部分为“主机名”+“-”+“用户名”+“ ”

之前得到的主机名WIN-LO6FAF3DTFE

查看用户名

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 hashdump

在这里插入图片描述

Rick

得知密码一部分为 WIN-LO6FAF3DTFE-Rick

筛选

strings -e l '/home/kali/Desktop/Game/3720.dmp'  | grep "WIN-LO6FAF3DTFE-Rick"

在这里插入图片描述

密码为：WIN-LO6FAF3DTFE-Rick aDOBofVYUNVnmp7

NSSCTF{aDOBofVYUNVnmp7}

Closure

在这里插入图片描述

被加密的应该就是flag文件了，让我们找找看它在哪里

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 filescan | grep -i "flag"

在这里插入图片描述

把它dump下来

vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 --dump-dir='/home/kali/Desktop/Game'

在这里插入图片描述

把它改个名字

在这里插入图片描述

网上找到这个勒索病毒Hidden Tear

在这里插入图片描述

在网上可以找到解密程序HiddenTearDecrypter

在这里插入图片描述

在解密之前，需要移除文件后所有的十六进制 00，并修改文件的后缀为 .locked，放入一个文件夹里面

在这里插入图片描述

解密得到了原文件

在这里插入图片描述

修改后缀名

在这里插入图片描述

得到了flag！

在这里插入图片描述

NSSCTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}

MiguoQAQ

关注

17
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
[OtterCTF 2018]取证系列 WriteUp by MiguoQAQ

取证系列wp
复制链接

扫一扫

专栏目录

[OtterCTF 2018]取证系列 WriteUp by MiguoQAQ

[OtterCTF 2018]取证系列

What the password?

General Info

Play Time

Silly Rick

Name Game

Hide And Seek

Name Game 2

Path To Glory

Bit 4 Bit

Graphic’s For The Weak

Path To Glory 2

Recovery

Closure

“相关推荐”对你有帮助么？