CTF 内存取证
https://otterctf.com/challenges
1- What the password?
问题:找到 Rick 的 密码:
先使用 imageinfo 判断系统版本。
vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem imageinfo
提到密码会想到三个参数; hashdump, lasdump ,mimikatz(此插件手动安装)
vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 hashdump
第二个hash值就是密码,md5解密看运气了,可以彩虹表解密。
vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 lsadump
如图所示得到了密码
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 mimikatz
如图所示:得到了用户名,主机名,密码、
因此
flag
CTF{MortyIsReallyAnOtter}
2 - General Info
题目要求:得到主机名和IP地址。
说到主机名,在上一题中使用 mimikatz 查看密码时已经得到了,
或者:
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 hivelist
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 printkey -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName"
因此
flag
CTF{WIN-LO6FAF3DTFE}
说到 IP 地址,会联想到 netscan (会将网络的连接情况打印出来)
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 netscan
这一看就是一个C段的IP地址。因此
flag
CTF{192.168.202.131}
3 - Play Time
题目说:Rick 在玩一个老游戏,让我们找到 游戏名称 和 IP 地址。
同样使用 netscan 我们会发现一个名为: LunarMS.exe 的程序,经百度这是一个游戏。
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 netscan
77.102.199.102 就是服务器IP地址。因此
flag:
CTF{77.102.199.102}
CTF{LunarMS}
4 - Name Game
题目描述:我们知道这个帐号登录到了一个名为Lunar-3的频道。账户名是什么?
猜想:既然登陆了游戏,我们尝试直接搜索镜像中的字符串 Lunar-3 。
先使用 strings重定向到 文本中。时间有点儿久,耐心等待。
strings OtterCTF.vmem > OtterCTF.vmem.strings
cat OtterCTF.vmem.strings | grep -C 10 "Lunar-3"
C 10 前后10行
如图所示:得到了 账户名: 0tt3r8r33z3(好奇怪的名称),因此
flag
CTF{0tt3r8r33z3}
5 - Name Game 2
题目描述:通过一些研究,我们发现登录角色的用户名总是在这个签名之后(
0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} ):rick的角色的名字是什么?
先将 LunarMS.exe dump 下载,使用 pslist ,pstree, psscan 均可查看到 它的进程IP
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 pslist
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 memdump -p 708 -D ./
根据题目要求查找: 0x5a 0x0c 0x00 0x00, 可以使用 winhex, 010Editor,或者 linux 中的 hexdump 查看。
如图所示:搜索到: M0rtyLOL
flag
CTF{M0rtyLOL}
6 - Silly Rick
题目描述:愚蠢的里克总是忘记他的电子邮件密码,所以他使用在线存储密码服务来存储他的密码。他总是复制并粘贴密码,这样他就不会弄错。瑞克的电子邮件密码是什么?
关键词:复制粘贴,那么复制内容会存在到剪贴板中 : clipboard
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 clipboard
如图所示:得到了 剪贴板中的内容 : M@il_Pr0vid0rs
flag
CTF{M@il_Pr0vid0rs}
7 - Hide And Seek
题目描述:我们把rick的电脑内存转储是因为有恶意软件感染。请查找恶意软件进程名称(包括扩展名)
BEAWARE!只有三次尝试才能得到正确的旗帜!
ok 要求我们找出 恶意软件进程名称
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 pslist
仔细观察会发现有一些进程名称叫 Rick and Morty, Bittorrent, 看到这两个字眼大家应熟悉吧,BT 种子,瑞克and莫提(漂亮国的动漫),因此我们可以猜测中毒的过程:某某在网上下载了种子,结果种子中有问题从而导致中病毒。
说了这么多就是 ”下片儿嘛!“。懂得都懂!
最终答案: vmware-tray.exe
其实这道题完全能够靠猜测。只要是可疑的都试一试。
flag
CTF{vmware-tray.exe}
8 - Path To Glory
题目描述:恶意软件是如何进入里克的电脑的?这一定是瑞克以前的一个非法习惯。。。
简单来说就是Rick下片儿导致电脑中毒。重点放在BT种子上面。而且下载到电脑上了。
我们搜一下 Rick And Morty
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 filescan | grep "Rick And Morty"
六条数据,都导出来看看,最后发现将第四条导出来放入 010Editor 中发现特殊的字眼:
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D ./
得到:M3an_T0rren7_4_R!ck
flag
CTF{M3an_T0rren7_4_R!ck}
9 - Path To Glory 2
题目描述:在恶意软件进入后继续搜索。
32-1648435991720)]
得到:M3an_T0rren7_4_R!ck
flag
CTF{M3an_T0rren7_4_R!ck}
9 - Path To Glory 2
[外链图片转存中…(img-3lP0y6ze-1648435991720)]
题目描述:在恶意软件进入后继续搜索。
未完待续…………
扫一扫
5257
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
