46届世界技能大赛湖北省选拔赛 也是今年金砖比赛的样题

最新推荐文章于 2024-06-19 15:11:21 发布
最新推荐文章于 2024-06-19 15:11:21 发布
阅读量191 收藏
点赞数
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52484587/article/details/132629740
版权

链接:https://pan.baidu.com/s/1tYgIicCqJExmaMLYa3YeSA 
提取码:lulu 

你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。

1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上题已经看到进程

解析

 1.从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

      不管什么题内存取证的第一步肯定是去判断当前的镜像信息,分析出是哪个操作系统   使用参数  imageinfo 查看系统信息

  volatility -f 1.vmem imageinfo

操作系统我们一般取第一个就可以了

接下来就可以输入参数

可以先查看当前内存镜像中的用户

volatility -f 1.vmem –profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names”

hashdump获取sam

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

john工具来进行爆破,但是好像跑不出来结果。应该是设定了强密码。于是只能使用了lasdump命令来查看

volatility -f 1.vmem --profile=Win7SP1x64 lsadump

  flag{admin.dfsddew}

2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

 Netscan 可以查ip

volatility -f 1.vmem --profile=Win7SP1x64 netscan

 Ip:192.168.85.129

主机名需要通过查询注册表,先用hivelist

Volatility -f  1.vmem --profile=Win7SP1x64 hivelist

然后我们需要一步一步去找键名

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

继续

volatility -f 1.vmem --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control "

继续

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

再来

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

得到主机名WIN-9FBAEH4UV8C

也可以直接通过 hivedump查询相应的键名 但比较慢

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > system.txt
3.获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

这里使用iehistory

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

  flag{admin@file:///C:/Users/admin/Desktop/flag.txt}
4.当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

volatility -f 1.vmem --profile=Win7SP1x64 netscan

唯一一个已建立的

  flag{54.36.109.161:2222}
5.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上一题中已经知道了进程号为2588

volatility -f 1.vmem --profile=Win7SP1x64 pslist -p 2588

查到父进程是3036

然后在通过通过svcscan可以查询服务名称,找到对应服务名

    volatility -f 1.vmem --profile=Win7SP1x64 svcscan

 flag{VMnetDHCP}

oliveira-time
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)
Jay
12-20 2069
4.从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;DLL dlllist -p 查看一下这个进程的查看一下这个进程的DLL,发现程序是在temp目录下执行的,那这个应该就是恶意软件进程了。5.从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值(只提交年月日,例如:20210314)提交。
内存取证之46世界技能大赛湖北省选拔赛
weixin_62485906的博客
09-15 981
内存取证题
46世界技能大赛网络系统管理项目湖北省选拔赛技术文件与样题.zip
03-10
46世界技能大赛网络系统管理项目湖北省选拔赛技术文件与样题.zip
应急响应事件处置指南
热门推荐
qq_33295410的博客
01-30 2万+
《网络安全应急响应事件处置指南》是一份详细的手册,旨在帮助组织有效地应对网络安全事件。这份指南包含了一系列的步骤和建议,以便在发生网络安全事件时,能够迅速、准确地识别问题、评估风险、采取适当的应对措施,并进行必要的恢复工作。
46金砖国家世界技能大赛湖北省选拔赛 内存取证样题
weixin_54517170的博客
08-02 542
内存取证类题
应急响应-内存分析
qq_50765147的博客
01-28 440
应急响应过程中,除了上述几个通用的排查项,有时也需要对应响应服务器进行内存的提权,从而分析其中的隐藏进程。
46世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题
新时代先锋的博客
02-26 6105
46世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco
世界技能大赛-网站设计与开发-湖北省选拔赛试题
04-17
46世界技能大赛,网站设计与开发项目,湖北省选拔赛试题。
46世界技能大赛网络安全项目浙江省选拔赛样题-模块B.pdf
03-02
46世界技能大赛网络安全项目浙江省选拔赛样题-模块B.pdf 本资源是第46世界技能大赛网络安全项目浙江省选拔赛样题的模块B,涵盖网络安全事件响应、数字取证调查和应用程序安全等多个方面的竞赛项目。 网络...
第45世界技能大赛山东省选拔赛网络系统管理项目技术文件1月15日+.pdf
07-14
第45世界技能大赛山东省选拔赛网络系统管理项目技术文件1月15日+.pdf第45世界技能大赛山东省选拔赛网络系统管理项目技术文件1月15日+.pdf第45世界技能大赛山东省选拔赛网络系统管理项目技术文件1月15日+.pdf第...
河南省第二职业技能大赛郑州市选拔赛“网络安全”项目样题.pdf
02-18
"河南省第二职业技能大赛郑州市选拔赛网络安全项目样题" 本文档是河南省第二职业技能大赛郑州市选拔赛“网络安全”项目样题,主要涵盖了网络安全领域的多个方面,包括登录安全加固、事件监控、流量完整性保护、...
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6188
转移发布平台通知:将不再在CSDN博客发布新文章,敬移步知识星球... ...
综合布线实训室建设方案2024
whwzzc的博客
02-18 1158
综合布线实训室概述 随着智慧城市的发展,人工智能、物联网、云计算、大数据等新鲜行业的兴起,网络布线系统是现代智慧城市、智慧社区、智能建筑、智能家居、智能工厂和现代服务业的基础设施和神经网络,实践表明网络系统的故障 70%发生在布线系统,直接决定人们上网的速度和稳定性,当前行业急需大批掌握网络布线系统安装施工和运维服务等的技能人才。近年来各院校非常重视综合布线技术人才的培养,信息技术类计算机应用、计算机网络技术、网络安防系统安装与维护、通信系统工程安装与维护、楼宇智能化工程技术、物联网技术应用等专业纷纷开设
金砖技能大赛-应急响应-内存镜像分析-进程分析
qq_44005305的博客
03-07 747
/列举用户及密码//从内存中获取密码哈希//从内存中获取密码哈希volatility -f 1.vmem --profile=Win7SP1x86 hashdump (可以跟-f 也可以跟samsystem的进程)//尝试利用网站解密 解不开插件也可以使用自带的工具得到md5 406990ff88f13dac3c9debbc0769588c 这个也是答案!
Nginx之静态文件服务器的搭建
wyx的博客
06-13 917
静态文件服务器是指提供HTML文件访问或客户端 可直接从中下载文件的Web服务器。对于图片、 JavaScript或CSS文件等渲染页面外观的、不会动态改 变内容的文件,大多数网站会单独提供以静态文件服 务器的方式对其进行访问,实现动静分离的架构。在以上配置中,每个server指令域等同于一个虚 拟服务器,每个location指令域等同于一个虚拟目录。
函数与数组
最新发布
ibertine_P的博客
06-19 326
sum=0dodoneecho $sumsum1=0sum2=0dothenelsefidoneecho "偶数的和为:$sum1"echo "奇数的和为:$sum2"运行结果偶数的和为:92奇数的和为:107dothenmax=$ifithenmin=$ifidone结果max=7min=1。
计算机网络(6) ICMP协议
qq_42761215的博客
06-14 718
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
Oracle--服务器结构详解
一左的博客
06-17 929
它确保有足够数量的空闲缓冲区(即当服务器进程需要读取数据文件中的块时可以覆盖的缓冲区) 在数据库缓冲区高速缓存中可用。在这个进程中,SMON 读取重做日志文件并将重做日志中记录的更改应用到数据块中。LGWR 向重做日志文件中连续写入直到提交记录含提交记录的所有重做日志缓冲区条目。用来存放Oracle系统最近访问过的数据块,经常或者最近被访问的数据块会被放置到高速数据缓冲区的前端,不经常被访问的会被放置到后端。负责在每当缓冲区高速缓存中的更改永久地记录在数据库中时,更新控制文件和数据文件中的数据库状态信息
企业服务器上云还是下云哪种比较好?-尚云Sunclouds
ToB行业资讯站
06-14 279
按需付费的特性,让企业用户轻松点击鼠标,就能获得可扩展的资源和支持,可以随时满意企业的需要。中小企业是社会发展的中坚力量,他们的特点少而明显:资金少,增长快,专业IT人员稀缺。这意味着选择合适的IT解决方案,对其成长起着至关重要的作用。服务器托管为中小企业提供了放置专用计算基础架构(服务器和网络设备)的机会,而不是自己构建数据室或数据中心,这样可以节省成本高昂的设施基础架构及维护费用。托管方案旨在知足数据中心设施的需要,而云服务器不但包括数据中心设施,还包括IT基础架构,它们都作为一项服务来提供
提供一下牛客网数据分析方面的几道题目
05-20
以下是牛客网数据分析方面的几道题目: 1. 某公司有一个销售平台,需要你通过数据分析找出哪些销售员的业绩最好。根据以下表格结构,编写 SQL 查询语句,返回销售员的姓名、销售总额和销售数量,按销售总额从高到低排序。 | 销售员编号 | 销售员姓名 | 销售日期 | 销售金额 | |-----------|-----------|---------|---------| | 001 | 张三 | 2021-02-01 | 5000 | | 002 | 李四 | 2021-02-02 | 3000 | | 001 | 张三 | 2021-02-03 | 10000 | | 003 | 王五 | 2021-02-04 | 8000 | | 002 | 李四 | 2021-02-05 | 6000 | | 001 | 张三 | 2021-02-06 | 7000 | 2. 某公司有一个电商平台,需要你通过数据分析找出哪些商品的销售量最好。根据以下表格结构,编写 SQL 查询语句,返回商品名称、销售总量和销售总额,按销售总量从高到低排序。 | 商品编号 | 商品名称 | 销售日期 | 销售数量 | 商品单价 | |-----------|-----------|---------|---------|---------| | 001 | 商品A | 2021-02-01 | 10 | 500 | | 002 | 商品B | 2021-02-02 | 15 | 300 | | 001 | 商品A | 2021-02-03 | 20 | 500 | | 003 | 商品C | 2021-02-04 | 25 | 200 | | 002 | 商品B | 2021-02-05 | 30 | 300 | | 001 | 商品A | 2021-02-06 | 35 | 500 | 3. 某电商平台有一个用户行为表,记录了用户在平台上的操作记录。根据以下表格结构,编写 SQL 查询语句,返回每个用户在平台上的操作总数和最近一次操作的时间。 | 用户编号 | 操作类型 | 操作时间 | |-----------|-----------|---------| | 001 | 登录 | 2021-02-01 10:00:00 | | 002 | 注册 | 2021-02-02 10:00:00 | | 001 | 浏览商品 | 2021-02-02 11:00:00 | | 002 | 下单 | 2021-02-03 10:00:00 | | 001 | 支付订单 | 2021-02-03 11:00:00 | | 003 | 注册 | 2021-02-04 10:00:00 | | 001 | 评价商品 | 2021-02-04 11:00:00 | | 002 | 浏览商品 | 2021-02-05 10:00:00 | | 003 | 下单 | 2021-02-06 10:00:00 | | 001 | 登出 | 2021-02-06 11:00:00 | 以上是三道数据分析方面的牛客网题目,希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值