ctf内存取证----easy_dump

最新推荐文章于 2024-08-23 11:14:43 发布
最新推荐文章于 2024-08-23 11:14:43 发布
阅读量2.9k 收藏 10
点赞数 1
分类专栏: 网络攻防 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MOLLMY/article/details/100865618
版权
本文详细记录了一次内存取证的过程,通过Volatility工具分析Win7SP1x64系统,从IE历史记录中发现隐藏的jpg文件,提取出zip文件,进一步得到hint.txt。解密坐标信息得到Vigenere密文,并使用'aeolus'作为密钥成功解密,最终得出可能的flag——'yeeeeeet!just_find_and_solve'。
摘要由CSDN通过智能技术生成

前一段时间又做了去年护网杯的内存取证题

第一次不参考任何wp提示,自己做,没想到做得挺顺利

 

 

Easy_dump writeup

 

解题步骤

Step 1

Volatility imageinfo

得知系统为Win7SP1x64

 

Setp 2

查看进程列表

 

查看命令行历史

 

没有什么发现

Step 3

执行netscan、iehistory等命令,发现在iehistory中有一个jpg文件

 

Filescan | grep “jpg” 找到这个jpg文件,

最低0.47元/天 解锁文章
MOLLMY
关注
专栏目录
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6717
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF整理】电子取证Easy_dump(18护网杯)
SunnyCat
06-18 7527
目录电子取证Easy_dump(18护网杯)资源和连接正文:0x010x020x030x040x050x060x070x080x090x100x110x12总结: 电子取证Easy_dump(18护网杯) 资源和连接 原题资源:https://pan.baidu.com/s/1z73M2MRr6W6AfM57lomF-w 提取码:1tf5 声明:本题的解法众多,我在重温这道题的时候也是借鉴了很多大佬的文章,但是本篇文章的内容都是自己所做所写,仅供大家技术交流。 参考链接: 2018护网杯——easy_d
渗透测试内存取证
最新发布
zzz6583zz的博客
08-23 340
所用系统:kali-linux-2019-2-amd64,此系统中预置Volatility(位于“应用程序”-“11 Forensics”)(“Forensics”译为“取证”)点击该应用可进入终端命令行并显示当前Volatility支持的命令行及命令行含义(注: Volatility为命令行工具,自行开启系统“终端命令行”后键入volatility -h可获得以上操作相同的命令行展示信息)
ctf杂项-easy_dump.img
CTF小杂鱼的专栏
07-18 2347
原题某大赛的真题,之前培训老师给讲过一次,但是重点讲的是内存取证,后续套路没有展开讲,题给了,索性就从头解了一遍。 例题一 easy_dump.img 1、拿到镜像先放到diskgenies里进行磁盘扫描,无果。 2、在/tmp目录下挂载此镜像,无果。 root@kali:/tmp# mkdir 1 root@kali:/tmp# mount easy_dump.img ./1 使用file命令查看easy_dump.img显示为data数据文件。 3、使用ro...
内存取证ctf
shshshsh_的博客
11-11 265
前言,前两天我们学习了安装和基本命令,所以今天我们就找几个ctf的题目来练练手。
Android apk破解反编译应用-EasyDump
zhm322的专栏
04-20 709
大家好,今天与大家分享一个很easy的反编译应用-EasyDump,它主要有以下优点: 1、支持加固后的编译,主包包括360加固、百度加固、腾讯加固、爱加密、梆梆加固。 2、不需要手机root就可以反编译导出dex文件。 马上给大家介绍一下使用方法: 1、安装EasyDump 打开EasyDump官方,下载最新版本,如截图: 2、安装EasyDump EasyDump的安装方式比...
CTF取证
S_cx666的博客
01-19 1206
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版
Memory Forensics (内存取证)
zip471642048的博客
05-22 1091
文章目录Memory Forensics1 - What the password? Memory Forensics 1 - What the password? volatility -f OtterCTF.vmem imageinfo 查看rick的hash密码值然后拿去cmd5解密发现解不出来 518172d012f97d3a8fcc089615283940没解出来,用lsadump这个也是用来提取hash的 ...
OFPPT-CTF 2022 部分writeup
ShenZ的博客
03-27 5107
OFPPT-CTF 2022WebLogseasy webLFIlibraryChocolatephp WebLogs easy web LFI library Chocolate php Cryptography Rome famous general Milkshake Transposition Forensics Shark Windows memory dump pcap analysis pcap analysis 2 pcap analysis 3 pcap analysis 4 pcap
easy-dumpsys:输出以下adb命令的脚本:`adb shell dumpsys activity `以更小,更容易和用户友好的方式..
01-31
easy-dumpsys:输出以下adb命令的脚本:`adb shell dumpsys activity `以更小,更容易和用户友好的方式..
ctfdump:使用 libctf 重新实现 ctfdump 实用程序的 BSD 许可
06-01
转储 将 CTF 数据打印到stdout 。 用法 ctfdump [-adfglt] <file> -a打印所有 -d打印数据对象 -f打印函数对象 -g打印一般信息 -l打印标签 -t打印类型 建造 $ ninja 或者 $ make 依赖关系 库文件 例子 标签 root@FreeBSD_Box:~ # ctfdump -l /boot/kernel/zlib.ko -- Labels ------ Name: FreeBSD 10.0-RELEASE i386 1000510 Index: 143 数据对象 root@FreeBSD_Box:~ # ctfdump -d /boot/kernel/zfs.ko | head -9 -- Data Objects ------ Name: avl_balance2child Type: const int [3] Nam
【blueteam-ctf-challenges内存取证部分】RedLine Blue Team Challenge
weixin_64836216的博客
12-01 1024
这是一道内存取证的题,总体相对来说比较简单,主要是熟悉工具的使用和分析的思路
2018护网杯——easy_dump
weixin_40709439的博客
10-19 3451
题目: 链接: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取码: axgp 做题时看到下载下来的600m,懵逼中,看到是img镜像文件当然想到的是利用diskgenuis恢复文件找特别文件再进行解密。 一直做不出,是我想的太简单了,昨天看了大佬写的wp,满怀敬佩的心复现一下 参考i春秋大佬:lem0n   实验用到的工具: k...
内存取证之volatility(例题[护网杯]Easy_dump
苏生要努力
02-27 791
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
CTF信息泄露
weixin_67901533的博客
04-26 1227
文章目录一、目录遍历1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤二、PHPINFO1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤三、网站源码1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤四、bak文件1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤五、vim缓存1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤六、.DS_Store1.打开题目
OtterCTF内存取证wp
m0_66638011的博客
05-09 5320
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
[ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
ShenZ的博客
07-20 5097
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
ctf任务http-get
06-27
CTF(Capture The Flag)是一种网络安全竞赛活动,通常包含各种挑战,其中HTTP-GET任务是一种常见的Web安全方面的挑战。在这样的任务中,参与者需要利用HTTP协议的GET方法来获取隐藏的信息或解决某个谜题。 HTTP-GET任务通常涉及以下几个步骤: 1. **理解目标**: 你需要访问一个特定的URL,这个URL可能包含了加密或编码的数据。 2. **分析URL**: URL可能包含一些提示,比如参数、编码、加密算法等,你需要解码或破解这些元素以找到关键信息。 3. **使用工具**: 利用浏览器开发者工具或者命令行工具(如curl)来发送GET请求,并观察响应内容。 4. **解密/解析**: 分析返回的响应,可能需要密码学知识(如哈希、Base64解码等)、字符串处理技巧或特定的编码规则。 5. **获取旗子(Flag)**: 找到并提取隐藏的Flag,这通常是竞赛中的胜利标志。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值