2020湖湘杯Misc-隐藏的秘密

最新推荐文章于 2022-09-25 14:03:55 发布
最新推荐文章于 2022-09-25 14:03:55 发布
阅读量527 收藏 1
点赞数 1
分类专栏: 2020湖湘杯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46481239/article/details/110871782
版权

解压出来是一个虚拟内存文件,当时想的应该就是内存取证了
先分析一下内存镜像的基本信息

volatility -f 隐藏的秘密.vmem imageinfo

在这里插入图片描述
可以看到主机使用的操作系统版本,这里我们使用Win2003SP1x86
看一下运行过的进程,如果进程已经结束,会在Exit列显示日期和时间,表明进程已经结束

volatility -f 隐藏的秘密.vmem --profile Win2003SP1x86 pslist

在这里插入图片描述
这里注意到有两个进程
regedit.exe:是Windows注册表编辑器
notepad.exe:是Windows自带记事本

查看提取内存进程中的数据

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 userassist

在这里插入图片描述
两个进程都无数据
那我们继续扫描一下内存中的文件并提取出来

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 filescan >>1.txt

在这里插入图片描述
发现桌面文件有个file.txt
扫描一下桌面文件:

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 filescan | grep 桌面

在这里插入图片描述
(这一步可以省略我只是更直观的可以看到)
那我们接下来可以把这个文件dump下来

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x000000000412cde0 -D ./

在这里插入图片描述
用记事本打开得到一个提示
在这里插入图片描述
没有这个用户却被这个用户登录了,说明存在一个隐藏用户
之前也查看到有个注册表编辑器的进程
通过资料查找
在regedit中我们可以看到隐藏用户所在的路径
在这里插入图片描述

我们查看一下系统用户名(sam表中的用户)

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

隐藏用户带有$符号,那么多隐藏用户,哪一个才是真的呢

把之前注册表进程dump下来 (-p后面接的是进程的pid),在前面查看运行进程的时候就可以记录一下)

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 memdump -p 804 -D ./

dump下来之后,把SAM表中的可打印字符打印下来
在这里插入图片描述
发现了这个可疑用户值
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000493

把它匹配一下,查看00000493下的值

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Users\00000493"

在这里插入图片描述
发现这个相匹配的隐藏用户FHREhpe$
把这个隐藏用户FHREhpe$ hushdump提取出来

volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 hashdump | grep FHREhpe

在这里插入图片描述
按照提示:格式:md5(用户名:密码)
先把密码解出来
在这里插入图片描述
NIAIWOMA
FHREhpe$:NIAIWOMA
在这里插入图片描述

F10NAF11pp3d
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
湖湘2020
pwnyuan's blog
11-05 1067
湖湘2020BeforeMisc虚实之间思路CryptoLFSXOR描述源码思路EXP古典美++描述思路After Before 有幸作为队里挂件打了湖湘,好家伙,平台从下午开始就搞事情,我们藏了两flag,最后一直交不上,也不是交不上,是交上了,不亮,不给分,吓得我们最后不怎么做了,就疯狂交flag,淦 Misc 另外passwd和隐藏秘密,是内存取证,我不会用volatility,这两题是队友写的 我还在复现,不是,是在学习怎么使用他 虚实之间 思路 打开发现要密码,直接拉到ARCHPR里面爆破
msf 使用 hashdump 和 wce 提取 hash
发哥微课堂
01-21 1万+
0x00:介绍 msf 在获取 shell 后为了更方便的进行渗透测试,可获取主机的 hash 以及域的 hash,即用户的密码,存在于 c 盘下的 windos 下的 system32 下的 config 下的 sam 文件中,以 hash 加密的方式存储,而系统开机后,hash 密码会以明文存在于内存中,获取 hash 的工具和方法有很多,这一节记录下 hashdump 和 wce 的使用。...
2020湖湘部分writeup
jameswhite2417的博客
11-02 1503
周末打了湖湘,把做题过程记录一下,大家交流学习。 下面的链接里有题目,可以下来看看。 https://download.csdn.net/download/jameswhite2417/13081994 misc passwd 下载文件发现是raw,是道内存取证的题目 拷到kail中,先识别配置文件 获取密码hash 进行解密 再根据题目用sha1加密得到flag 2.CPYPTO 古典美++ Virginia(维吉尼亚)无密钥解密 破解秘钥长度。 ...
Volatility内存取证
Atkx's Blog
06-03 3356
目录安装Volatility工具介绍CTF实战 安装Volatility 新版kali不自带Volatility,需要自己安装源码编译 1.下载源码 https://pan.baidu.com/s/1r-9VC3aG-sP6wWziYNvXxA 提取码:4d4w 2.安装依赖 crypto库安装 安装pycryptodome pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple #如果不指定国内源,可能会出现超
2020湖湘 wp
weixin_46330722的博客
11-02 1836
2020湖湘 wpweb题目名字不重要反正题挺简单的NewWebsite 今天打了下湖湘,签到选手上线。 web 题目名字不重要反正题挺简单的 题目源码 <?php error_reporting(0); //I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker. if ( isset($_GET['file']) ) { $file = $_GET
Bugku 哥哥的秘密
qq_52907838的博客
08-31 1万+
给了个QQ号,说是空间里藏了东西,进入空间,有两个提示: hint1:解题流程为:收集空间信息--相册--收集微博信息--相册--解题--相册--提交flag hint2:解题部分题目需要下载原图才能看到哦 说明第一步要在空间中找信息,往下看发现了一个类似盲文的东西: 猜测可能是盲文加密,在线网站解密:文本加密为盲文,可自设密码|文本在线加密解密工具 (qqxiuzi.cn) ⠀⡘⠀⡙⠀⡞⠀⡄⣿⠪⡛⣶⡸⠱⠀⠍⡥⣆⡗⠀⡎⢊== 得到下一步提示:hint:密码=时地人,意思是密码是“时间地点...
安恒-misc-附件资源
03-05
安恒-misc-附件资源
华山2016-misc-try_everything-200.rar
09-30
【标题】"华山2016-misc-try_everything-200.rar" 指的是一项网络安全竞赛中的挑战项目,可能是CTF(Capture The Flag)比赛的一种。"misc"通常代表混合类别,意味着这个挑战可能涵盖多种安全领域,而不仅仅是破解...
misc-addons:Odoo插件
04-29
[14.0] Odoo插件 :check_mark: :check_mark: :check_mark: :check_mark: :check_mark: 其他插件资料库版本号 [7.0] itpp-labs /邮件附件[14.0] [13.0] [12.0] [11.0] [10.0] [9.0] [8.0] itpp-labs / misc-addons ...
CTF-MISC关于各类编码习题(湖工商扛把子)
最新发布
03-17
在“CTF-MISC关于各类编码习题(湖工商扛把子)”这个主题中,你可以通过实践和解决1-1等文件中的题目,进一步提升自己在编码解码方面的技能。了解和熟练掌握这些编码方式对于CTF比赛中的Misc任务至关重要,能够帮助...
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3460
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
2020湖湘MISC全解-writeup
BlusKing
11-02 4562
MISC1 导出index-demo.html,查看代码发现隐藏了一长串base64 使用base64隐写进行解密 key:"lorrie" 得到key说明可能存在某种隐写,是snow隐写,但用网页版的snow隐写解出来是一串乱码,于是尝试使用本地版的SNOW.EXE SNOW.EXE -p lorrie index-demo.html flag{→_→←_←←_←←_←←_← →_→→_→←_←←_←←_← →_→←_←←_←←_← ←_←←_←←_←→_→→...
2020湖湘CTF选拔赛部分wp
../../../../../../../
11-02 1874
Misc Misc1 颜文字之谜 提示说颜文字夺走了flag,Wireshark打开流量包,发现了一串base64隐写编码 导出转换 (。・∀・)ノ゙嗨Hi~ (@_@;)(@_@;)(@_@;) (+_+)?(。>︿<)_θ(。>︿<)_θ o(* ̄▽ ̄*)ブ゜ <(^-^)>(╯▽╰ )好香~~ ヽ(✿゚▽゚)ノ(@^0^) (^^ゞΨ( ̄∀ ̄)Ψ*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。 ~\(≧▽≦)/~o(^▽^)o(¬‿¬)(*≧︶≦))( ̄▽ ̄* )ゞ┳━┳(╯‵
BUUCTF-MISC-文件中的秘密
Ewige的博客
08-31 475
下载附件,wow可以,这个时代名为路飞 进行基本操作,先查看图片信息 好吧,下一题。
ISCC 2019 Misc 隐藏的信息(这是一个被混淆的文件,但是我忘记了这个文件的密码。你能够帮助我还原明文吗?)
qq_42777804的博客
05-23 1697
下载打开之后 0126 062 0126 0163 0142 0103 0102 0153 0142 062 065 0154 0111 0121 0157 0113 0111 0105 0132 0163 0131 0127 0143 066 0111 0105 0154 0124 0121 060 0116 067 0124 0152 0102 0146 0115 0107 06...
全国大学生信息安全竞赛知识问答-CISCN题库
热门推荐
末初的CSDN博客
08-19 3万+
1. 强制访问控制的Bell-Lapadula模型必须给主、客体标记什么?(D) A、安全类型 B、安全特征 C、安全标记 D、安全级别 2. 下面的哪个概念也称为“安全核”?(C) A、主体 B、客体 C、RF(Reference Monitor) D.TCB(Trusted Computing Base) 3. 系统日常维护的内容主要包括(BCD )方面 A. 程序维护 B. 数据维护 C. 代码维护 D. 设备维护 E. 文件维护 4. 信息系统的安全运维活动是以基础设施和信息系统为对象,以日常运维、
misc】buu-面具下的flag——zip伪加密+用NTFS流隐藏文件
hans774882968的博客
09-25 2618
NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中,而我们无法看到非主文件的数据流。因为没有任何提示(比如密码范围可枚举、有其他隐藏的数据),所以可以考虑这个zip是否是伪加密。,图片无特殊信息,因此我们首先尝试去找其中的隐藏文件。我们可以在Ubuntu下直接看到所有相关的文件,的入门实验,像我这么鶸的可以过一遍qwq。
NEWSCTF第一届--官方wp(2021新春赛)
qq_55400494的博客
06-02 4425
题目源码及部分wp汇总如下 链接:https://pan.baidu.com/s/1RIatd5BdmHgckwZ4w_Gcog 提取码:news Web
windows hash 抓取(dump)工具 - quarkspwdump
海阔天空
03-18 6724
本机测试:Windows7 64位     Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。作者开发这个工具的原因是现在没有一款工具能同时抓取所有类型的hash和Bitlocker信息。这个工具没有注入任何进程,工作原理是神马呢,源代码值得读一下。
kbd-misc-2.5.1
09-13
### 回答1: kbd-misc-2.5.1是一个Linux操作系统下的键盘输入处理工具包,它包含了一些常用的工具和驱动程序,如loadkeys、dumpkeys、kbd_mode等。这些工具可以帮助用户配置和管理Linux系统下的键盘输入设备,包括设置键盘映射、键盘布局、键盘模式等。同时,kbd-misc-2.5.1还提供了一些驱动程序,如atkbd、ps2mouse等,用于支持各种类型的键盘和鼠标设备。kbd-misc-2.5.1是一个开源项目,它的源代码可以在GitHub上免费获取和更新,支持多种Linux发行版和硬件平台。 ### 回答2: kbd-misc-2.5.1 是一个开源软件包,其中包含了一些与键盘和输入设备有关的工具和驱动程序。这个软件包是在Linux内核中使用的,并提供了一些用于处理和管理键盘和输入设备的功能。 kbd-misc-2.5.1 软件包中的一些主要功能包括: 1. 键盘驱动程序:这个软件包提供了一些用于驱动各种类型的键盘的驱动程序。这些驱动程序允许操作系统与键盘进行通信,接收来自键盘的输入,并将其发送给应用程序。 2. 控制台工具:kbd-misc-2.5.1 还包含了一些用于控制台显示的工具。这些工具可以配置控制台的字体、颜色和布局等属性,提供了一些命令行工具来管理控制台的显示内容。 3. 输入法支持:该软件包还提供了对输入法的支持。它包含了一些输入法引擎和库文件,可以将输入法的功能集成到系统中,并提供输入法切换和输入法配置等功能。 4. 键盘映射:kbd-misc-2.5.1 还提供了一些工具和配置文件,用于定义键盘的映射规则。这允许用户自定义键盘的按键功能,以满足个人偏好或特定需求。 总之,kbd-misc-2.5.1 是一个用于处理和管理键盘和输入设备的开源软件包。它提供了一些驱动程序、工具和配置文件,允许用户自定义键盘和控制台的设置,并提供输入法支持和键盘映射功能。 ### 回答3: kbd-misc-2.5.1 是一个用于 Linux 操作系统的桌面键盘和控制台控制工具集。 kbd-misc-2.5.1 提供了一系列实用程序和工具,用于访问和管理 Linux 系统中的键盘和控制台。其中包括一些用于控制键盘布局和映射的工具,以及一些用于处理键盘输入的实用程序。这些工具可以帮助用户在 Linux 系统中调整和定制键盘的功能和行为。 kbd-misc-2.5.1 还包含一些用于控制台中显示的字符和图形的程序。这些程序可以提供更丰富的字符和图形显示效果,使控制台界面更加美观和易于使用。 该工具集还提供了一些用于处理输入事件和生成键盘事件的库和驱动程序。这些库和驱动程序可以与操作系统内核进行交互,以实现键盘输入的捕获和处理。 总的来说,kbd-misc-2.5.1 是一个功能丰富的工具集,用于在 Linux 系统中控制和定制键盘和控制台的功能和行为。它提供了一些实用程序、工具、库和驱动程序,帮助用户充分利用键盘和控制台的功能,提高系统的易用性和个性化定制能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值