Bugku-简单取证1

已于 2022-03-29 09:14:30 修改
阅读量4.5k 收藏 27
点赞数 19
文章标签: 安全 web安全 windows
于 2021-12-13 12:53:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54397502/article/details/121902668
版权

前言

题目地址:Bugku-简单取证1
这题不难,目的大概就是想让我们知道怎么从 windows 的系统配置文件提取出账号密码

工具

下面的是我做这题所用的工具
官方地址:https://github.com/ParrotSec/mimikatz
蓝奏云(2.2版本,自用):https://fictory.lanzouo.com/inMs1xk1pwb

开始做题

  1. 下载附件后解压,发现是一个 config 文件夹,该文件夹是存放 windows 用户名和明文密码等主要配置文件的,一般位于 windows 的 system32 文件夹中
    在这里插入图片描述

  2. 下载好工具,以管理员身份打开 mimiikatz.exe
    在这里插入图片描述

  3. 切换到解压后的配置文件 config 所在文件夹
    在这里插入图片描述

  4. 输入命令 lsadump::sam /sam:SAM /system:SYSTEM 读取该该配置文件中储存的用户名和密码
    在这里插入图片描述

  5. 往下拉可以看到用户名和密码已经提取出来了
    在这里插入图片描述
    复制密码的 hash 值,放到 https://www.objectif-securite.ch/ophcrack 里破解,得到密码为 forensics
    在这里插入图片描述

  6. 最终得到 flag

flag{administrator-QQAAzz_forensics}

拓展

关于 mimikatz 的多种用法
推荐:windows抓取用户密码
推荐 :Mimikatz使用大全
其他用法可自行查阅
在这里插入图片描述

Jason的博客
关注
  • 19
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
smudge:简单Windows 取证工具
06-17
弄脏 Smudge 是一个 Windows 取证工具,前提简单,攻击者在安装持久性机制时很懒惰。 持久性通常涉及在受感染的机器上安装某种机制,以允许攻击者在重新启动、更新和更改密码后继续访问机器。 然而,虽然这些持久性机制实际上可能被很好地隐藏并且 C2 代理耐心等待,但许多专业的渗透测试软件是如此粗心,以至于将未混淆的字符串或未经过处理的字符串留在内存中。 Smudge 通过在磁盘和进程内存中搜索类似于 http 资源、域名和 IP 地址的字符串来利用这一点。 Smudge 的目的是指出异常并揭示可疑文件和进程。 Smudge 将恶意软件的判断留给操作员。 发布二进制文件:
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
bugku 简单取证1
weixin_44747030的博客
08-01 1000
bugku 简单取证1
Bugku 简单取证1【MISC】
soysauce123的博客
09-14 2072
大胆猜测就是这个了现在用户名和密码都有了,但是这么一长串肯定不是我们想要的最终密码,我们再看看前面的hash ntlm 肯定是一种加密方式,我们通过相关的解码就可以了。因为现在我要在这个软件下打开我们刚才下载的题目config于是我们可以先通过cd查找我们现在所在的位置。这里肯定就是最终密码了,最后我们在bugku按照描述给我们的方式输入就可以了。第一次接触取证方面的题目,先简单了解一下,发现题目给的提示我们肯定需要得到相关的密码和用户名。可以通过这个获得相关的用户名和密码,那么我们先下载下来。
mimikatz实战之bugku简单取证1
weixin_45942044的博客
03-13 425
Hash NTLM:5f9469a1db6c8f0dfd98af5c0768e0cd 为我们需要的密码。输入 lsadump::sam /sam:sam /system:system。所以flag{administrator-QQAAzz_forensics}判断可能考察取证,下载mimikatz(使用时记得关闭所有防病毒软件)发现与 Windows用户根目录下文件很类似。
BugKu-CTF(杂项篇MISC)--简单取证1
Nailaoyyds的博客
03-18 1923
根据题目得知为取证,使用工具mimikatz, github地址:https://github.com/ParrotSec/mimikatz 将文件夹config复制到mimikatz文件夹内,然后打开mimikatz进行配置文件,进入config文件夹 然后使用命令lsadump::sam /sam:SAM /system:SYSTEM查看这个文件夹里面所有的用户名和密码,之后自行查看administrator的, MD5解密 flag{administr...
110-网络取证技术.pdf
最新发布
03-15
110-网络取证技术
应急响应取证-20210504.pdf
05-05
应急响应取证-20210504.pdf
论文研究-云取证综述.pdf
07-22
为保证云环境的健康发展,针对云犯罪展开取证分析(即云取证)显得尤为重要。对于云取证这一新兴领域,首先介绍了其概念以及当前该领域面临的技术、法律问题;重点介绍了目前云取证领域已经取得的研究成果;最后,...
信息隐藏实验-反取证-隐藏痕迹
08-19
信息隐藏实验-反取证-隐藏痕迹
bugku misc 简单取证 1
weixin_46578840的博客
05-01 857
下载文件解压得到 根据其文件名以及目录结构,应该是要用SAM的用户信息 PS:SAM文件:分支是HKEY_LOCAL_MACHINE\SAM,存储在C:\Windows\System32\config\SAM文件中,保存了用户的密码信息 使用mimikatz读取信息, 工具地址:https://github.com/ParrotSec/mimikatz lsadump::sam /sam:SAM /system:SYSTEM 根据提示,解码这一串并组合得到flag ...
Bugku——简单取证1——Misc
2301_77163106的博客
08-22 503
作为小白一开始根据题意在文件中寻找data,发现根本找不到(掀桌子~~呜呜),后来看到大佬的wp才知道要用到。简单地说也就是可以通过这个获得相关的用户名和密码,所以我们开始实操吧!将压缩得到的config文件放在工具的同一个目录方便使用,如我这样。这时发现有两个符合题意,再看密码似乎是某种加密方式通过查阅知道。第一个查询发现未查询,说明第一个不是的那么接下来是另一个了。接下来就要使用,mimikatz的命令。加密方式,知道了方向我们就开干!查到结果再结合题意得到flag。,该测试工具详情查看==>
简单取证-MISC-bugku-解题步骤
weoptions的博客
12-01 554
——CTF解题专栏——分享我的解题过程
Bugku CTF简单取证1 WP
arcuied
10-24 430
Bugku CTF 简单取证1 wp
bugku——简单个人信息收集
吃肉唐僧的博客
09-02 1708
打开题目,发现只有一个zip 解压发现需要密码? ????怎么收集简单信息??? 卡了很久,上网搜索才发现有可能存在伪加密 用winhex打开,然后修改09为00 然后参考博客:https://www.cnblogs.com/0yst3r-2046/p/11351140.html 扩充一下压缩包伪加密的知识 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x040...
取证简单小工具
04-26 1684
[1]Nigilant32: a Windows GUI Incident Response Tool (currently beta)http://www.agilerm.net/publications_4.html[2]Paul Bakker released a new version of his searchtools patch for sleuthkit 2.04 http://b
简单取证#CTF
qq_46202048的博客
11-18 4702
简单取证 1.下载取证软件地址https://www.magnetforensics.com/products/magnet-axiom/这里我使用Magent AXIOM筛选使用痕迹,由题干得知flag形式是以flag{用户名_密码}的,所以大致思路就是使用软件筛选的过程中找文件中的用户名和密码。 2. 解压缩文件是c盘的系统文件,Windows存储密码文件路径通常在C:\Windows\System32\config\SAM的路径,所以我们重点关注这个路径的用户名和密码。 3. 筛选使用痕迹得到用户和
密码学 BugKu 简单解密
Autumn_man的博客
08-07 499
拿到密文e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA 想到base64解密(我也不知道是怎么想到的),通常结尾有‘==’,‘A’的ASCII码是65,’='的ASCII码是61,偏移了4个 str = 'e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA' ans = '' for ...
简单的内存取证介绍
qq_41814777的博客
10-26 1784
定义: 通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。 内存是操作系统及各种软件交换数据的区域,数据易丢失(Volatile),通常在关机后数据很快就消失。(是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。) 工具介绍:volatility volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统...
x-ways forensics: 综合取证分析工具
10-19
x-ways forensics是一款综合取证分析工具,用于数字取证和计算机取证。该工具提供了一系列功能,用于收集、分析和呈现证据,以帮助调查人员在犯罪调查、公司安全审计等领域进行数字取证工作。 x-ways forensics具有高度灵活性和可定制性,可应用于各种不同类型的取证任务。它可以通过扫描存储介质(如硬盘、移动存储设备)来收集电子证据,通过恢复被删除文件、提取元数据和日志等方式获取隐藏的信息。该工具支持各种文件系统和操作系统,包括Windows、Linux等,以便广泛适用于多种取证需求。 该工具集成了一系列功能强大的分析工具,可帮助用户快速找到关键证据。它提供了强大的搜索功能,可以根据关键词、文件类型和文件属性等条件进行搜索,并生成相应的搜索报告。此外,它还具备强大的分析能力,可提供文件和文件夹的完整视图,以及图形化的展示方式,以方便理解和呈现证据。 x-ways forensics还支持批量处理和自动化功能,可以帮助用户提高工作效率。用户可以创建脚本和预设,以系统化地进行取证分析过程,减少人为错误的可能性。它还提供了生成详细报告的功能,以便将取证结果进行整理和呈现给相关利益相关方,如法庭和调查人员。 总而言之,x-ways forensics是一款功能强大、灵活可定制的综合取证分析工具,广泛应用于数字取证和计算机取证领域。它的各种功能和工具可以帮助调查人员有效地收集、分析和呈现电子证据,以支持犯罪调查和安全审计等工作。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值