CTF-蓝帽杯 2022 初赛Misc计算机取证题目详解

已于 2024-06-23 10:50:07 修改
阅读量793 收藏 27
点赞数 24
文章标签: 经验分享
于 2024-06-23 00:55:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62574258/article/details/139890553
版权

使用工具:Volatility、Passware Kit、Arsenal Image Mounter、DiskGenius

题目文件如下:

首先要知道这些文件是什么:

dmp后缀指Dump文件,是windows系统中的错误转储文件。包含计算机程序运行时的内存信息的文件。通常操作系统或应用程序在遇到系统崩溃、死机或其他严重错误时,会自动将程序运行环境的所有信息导出到一个.dmp文件中。所以可以利用该文件帮助程序员诊断程序运行过程中的错误,还可以获取账户、密码等敏感信息。因此,为了保护计算机安全和隐私,应该限制程序访问和存储.dmp文件。E01后缀是电子数据取证分析工具EnCase的一种证据文件格式。国内外的取证软件基本都支持E01镜像的制作。

所有工具和实验文件下载链接

https://download.csdn.net/download/m0_62574258/89471204

目录

小题1

小题2

小题3

小题4

答案

小题1

题目描述:现对一个windows计算机进行取证,请从内存镜像中获得taqi7的开机密码,得到的flag请使用NSSCTF{}形式提交。

题目相关文件保存到/root/test目录下,如下图

用两种解法

解法一:使用Volatility工具

(1)先用imageinfo判断当前的镜像信息,分析出是哪个操作系统

python2 vol.py -f /root/test/1.dmp imageinfo

可以看到推荐Profile为Win7SP1x64

(2)然后查看用户密码的hash值,profile指定为Win7SP1x64,然后指定hashdump

python2 vol.py -f /root/test/1.dmp --profile=Win7SP1x64 hashdump

(3)得到taqi7用户的密码哈希值为7f21caca5685f10d9e849cc84c340528,在线解密得密码明文为anxinqi

(4)也直接破解哈希值(需要安装mimikatz插件),它是一种用于提取Windows用户名和密码的工具。

python2 vol.py -f /root/test/1.dmp --profile=Win7SP1x64 mimikatz

直接得到taqi7密码明文为anxinqi

解法二:使用Passware Kit工具

(1)打开Passware Kit工具,选择Memory Analysis内存分析

(2)选择1.dmp文件

(3)得到结果为anxinqi

小题2

题目描述:现对一个windows计算机进行取证,制作该内存镜像的进程Pid号是多少?得到的flag请使用NSSCTF{}形式提交。

使用Volatility 工具的pslist指令列出所有进程,然后找制作该内存镜像的进程MagnetRAMCaptu.exe

python2 vol.py -f /root/test/1.dmp --profile=Win7SP1x64 pslist

MagnetRAMCaptu.exe进程的PID为2192

小题3

题目描述:现对一个windows计算机进行取证,bitlokcer分区某office文件中存在的flag值为?得到的flag请使用NSSCTF{}形式提交。

(1)把G.E01和1.dmp都使用Arsenal Image Mounter工具挂载到电脑上

可以看到电脑上多了个E盘

但是该磁盘使用了BitLocker加密,所以无法打开

(2)选择passware kit的Full Disk Encryption功能然后选择BitLocker,由于我们有内存镜像,所以选择I have a memory image,这样就可以不用暴力破解,因为内存中通常会有恢复密钥。加密的镜像文件选择G.E01,内存镜像选择1.dmp

破解结果如下

破解恢复密钥为:368346-029557-428142-651420-492261-552431-515438-338239

而且还得到解密后的镜像G-decrypted.dd

(3)在DiskGenius中使用刚刚破解的恢复密码解锁磁盘

(4)恢复结果如下,有一个word、一个ppt、一个密码本、加密后的txt

(5)打开ppt和word都需要密码

(6)将得到的密码本添加到password kit工具中,选择添加字典文件

(7)选择得到的pass.txt,然后勾选保持原始的数据顺序

(8)然后选择添加的字典进行字典攻击

(9)ppt破解结果如下,得到ppt的密码为287fuweiuhfiute

word破解结果如下,得到word的密码为688561

(10)使用密码打开word发现没有flag,打开ppt结果如下

小题4

题目描述:现对一个windows计算机进行取证,TrueCrypt加密中存在的flag值为?得到的flag请使用NSSCTF{}形式提交

(1)小题3还得到一个名为新建文本文档的txt文件,该文件大小很大,且内容是乱码,推测是加密后的镜像

(2)由于题目说明了是TrueCrypt加密,然后选择passware kit的Full Disk Encryption功能然后选择TrueCrypt,选择I have memory image

要解密的文件选择新建文本文档.txt,内存镜像选择1.dmp

(3)得到解密后的镜像新建文本文档-unprotected.txt

(4)将新建文本文档-unprotected.txt改名为新建文本文档-unprotected.dmp,然后使用Arsenal Image Mounter将其挂载到电脑上

(5)然后打开DiskGenius,点击恢复文件,得到一个名为哈哈哈的压缩包

(6)打开该压缩包,发现需要密码

(7)使用passware kit导入该文件,发现写着可以快速解密,所以尝试用1到6位数字组合暴力破解,结果如下

(8)使用密码解压压缩包,得到一个txt文件,内容如下

答案

(1)NSSCTF{anxinqi}

(2)NSSCTF{2192}

(3)NSSCTF{b27867b66866866686866883bb43536}

(4)NSSCTF{1349934913913991394cacacacacacc}

Genius256
关注
  • 24
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
【内存分析与虚拟机取证】 在网络安全领域,内存分析是一种重要的技术手段,它主要用于调查和取证,尤其是在网络安全事件中寻找线索。在CTF(Capture The Flag)竞赛中,这种技术经常被用来解决复杂的挑战,例如...
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
MISC章节关于各类编码的练习
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
2018强网杯CTF-题目整理-校本图片Readme.zip
12-18
2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── 题目名称:...
面试经验分享 | 驻场安全服务工程师面试
zkaqlaoniao的博客
06-20 993
*.域名解析到同一IP。:子域名.域名解析到同一IP。IP黑名单,首先访问一个随机的并不存在的域,通过返回的结果判断是否存在泛解析,确定存在泛解析后,不断的生成随机域名并发送请求,将每次返回的IP和TTL记录下来,直到大部分的IP出现次数都大于两次,则IP黑名单收集完成。而后使用域名字典进行爆破,爆破过程中根据IP黑名单进行过滤,同时比较TTL,在泛解析记录中TTL是相同的,如果TTL不相同,则不是泛解析记录。
[职场] 教师资格面试流程 #经验分享#其他
2401_82864687的博客
06-24 266
注册好后,考生按考试程序中的流程选择面试报名、填上信息。考生按照抽签顺序分组安排从面试题库系统试题组中任选其中一道试题,确认抽题后,计算机打印出试题清单。考生进入备课室,根据试题清单撰写教案(或活动演示方案),备课时间20分钟。考官围绕考生试讲(或演示)内容和测试项目进行提问,考生答辩,时间5分钟。考生按照准备的教案(或活动演示方案)进行试讲(或演示),时间10分钟。如审核完成,点击“请支付”即可进行下一步“缴费”,交钱成功后,报名完成。进入报名系统之后,选择满足报名条件的省份,然后“点击登录”。
1719378276792.jpg
06-26
1719378276792.jpg
054ssm-jsp-mysql旅游景点线路网站.zip(可运行源码+数据库文件+文档)
06-26
本系统采用了jsp技术,将所有业务模块采用以浏览器交互的模式,选择MySQL作为系统的数据库,开发工具选择eclipse来进行系统的设计。基本实现了旅游网站应有的主要功能模块,本系统有管理员、和会员,管理员权限如下:个人中心、会员管理、景点分类管理、旅游景点管理、旅游线路管理、系统管理;会员权限如下:个人中心、旅游景点管理、旅游线路管理、我的收藏管理等操作。 对系统进行测试后,改善了程序逻辑和代码。同时确保系统中所有的程序都能正常运行,所有的功能都能操作,并且该系统有很好的操作体验,实现了对于景点和会员双赢。 关键词:旅游网站;jsp;Mysql;
基于单片机的篮球赛计时计分器.doc
06-26
基于单片机的篮球赛计时计分器.doc
基于springboot开发华强北商城二手手机管理系统vue+mysql+论文(毕业设计).zip
06-26
本项目是一个基于SpringBoot开发的华府便利店信息管理系统,使用了Vue和MySQL作为前端框架和数据库。该系统主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者,包含项目源码、数据库脚本、项目说明等,有论文参考,可以直接作为毕设使用。 后台框架采用SpringBoot,数据库使用MySQL,开发环境为JDK、IDEA、Tomcat。项目经过严格调试,确保可以运行。如果基础还行,可以在代码基础之上进行改动以实现更多功能。 该系统的功能主要包括商品管理、订单管理、用户管理等模块。在商品管理模块中,可以添加、修改、删除商品信息;在订单管理模块中,可以查看订单详情、处理订单状态;在用户管理模块中,可以注册、登录、修改个人信息等。此外,系统还提供了数据统计功能,可以对销售数据进行统计和分析。 技术实现方面,前端采用Vue框架进行开发,后端使用SpringBoot框架搭建服务端应用。数据库采用MySQL进行数据存储和管理。整个系统通过前后端分离的方式实现,提高了系统的可维护性和可扩展性。同时,系统还采用了一些流行的技术和工具,如MyBatis、JPA等进行数据访问和操作,以及Maven进行项目管理和构建。 总之,本系统是一个基于SpringBoot开发的华府便利店信息管理系统,使用了Vue和MySQL作为前端框架和数据库。系统经过严格调试,确保可以运行。如果基础还行,可以在代码基础之上进行改动以实现更多功能。
wx152微信阅读小程序-ssm+vue+uniapp.zip(可运行源码+sql文件+)
06-26
微信阅读小程序是一个很好的项目,使用了SSM(Spring + Spring MVC + MyBatis)框架 、 前端(Vue.js)和 uniapp 技术。 微信阅读小程序是一个很好的项目,使用了SSM(Spring + Spring MVC + MyBatis)框架 、 前端(Vue.js)和 uniapp 技术。 微信阅读小程序是一个很好的项目,使用了SSM(Spring + Spring MVC + MyBatis)框架 、 前端(Vue.js)和 uniapp 技术。 微信阅读小程序是一个很好的项目,使用了SSM(Spring + Spring MVC + MyBatis)框架 、 前端(Vue.js)和 uniapp 技术。 微信阅读小程序是一个很好的项目,使用了SSM(Spring + Spring MVC + MyBatis)框架 、 前端(Vue.js)和 uniapp 技术。
05-5 瓷夹或塑料夹配线质量管理.doc
06-26
05-5 瓷夹或塑料夹配线质量管理.doc
web网页html版基于python深度学习识别水面漂浮垃圾-含图片数据集.zip
06-26
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本,环境需要自行配置。 或可直接参考下面博文进行环境安装。 https://blog.csdn.net/no_work/article/details/139887346 安装好环境之后, 代码需要依次运行 01数据集文本生成制作.py 02深度学习模型训练.py 和03html_server.py 数据集介绍,下载本资源后,界面如下: 数据集文件夹存放了本次识别的各个类别图片。 运行01数据集文本制作.py文件,会就读取数据集下每个类别文件中的图片路径和对应的标签 运行02深度学习模型训练.py就会将txt文本中记录的训练集和验证集进行读取训练,训练好后会保存模型在本地 训练完成之后会有log日志保存本地,里面记录了每个epoch的验证集损失值和准确率。 运行03html_server.py就可以生成与网页交互的url了 然后我们复制这个url(http://127.0.0.1:4399)在本机电脑的网页上打开,或手动输入这个url,切记不要输错 这
arcgis api for js4.x聚类示例数据(芝加哥城市2016年第四季度犯罪记录)(免费)
最新发布
06-26
arcgis api for js4.x聚类示例数据(csv),编码UTF-8,亲测可用! 教学文章 https://blog.csdn.net/no_money000/article/details/140001250
SystemView-Windows-V354-x64.exe
06-26
SystemView_Windows_V354_x64.exe
51单片机鱼缸温度控制器(程序以及protues仿真)
06-26
随着人们生活水平的不断提高,目前各式各样的观赏鱼缸之类的工艺产品逐渐进入了家庭和宾馆、商场等公共场所,由于现有的观赏鱼缸的水温检测、水温控制等操作都特别繁琐,给人们带来了很大的不便。本文通过对目前大多数鱼缸控制设备应用现状的分析和研究,提出了一种鱼缸温度智能检测系统的设计方案。针对目前大多数鱼缸控制设备价格昂贵、安装繁琐、运行费用高,一般的用户难以使用的情况,我们结合单片机强大的开发技术,设计制作了一种以单片机为控制核心传感器技术进行温度显示并实现智能温度检测。此系统主要以STC89C51单片机检测系统为核心实现对鱼缸的集中控制和管理,能够对鱼缸温度进行自动检测,温度实时显示用LCD显示屏实现,用DS18B20温度传感器完成实时传送温度的指标。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Genius256

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值