[HackTheBox系列] 取证分析 - Export Writeup

最新推荐文章于 2024-07-24 14:08:33 发布
最新推荐文章于 2024-07-24 14:08:33 发布
阅读量578 收藏 1
点赞数
文章标签: 服务器 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mole_exp/article/details/124810385
版权

文章目录

题目

在这里插入图片描述
题目如上图所示,我们发现连接到我们的一台服务器的一个可疑连接,于是立即进行了内存转储。你能弄清楚攻击者的目的吗?

内存分析

这次要分析的是一个内存dump文件。要做内存取证分析,自然就想到了Volatility。Volatility是一款用Python编写的开源的内存取证工具。该工具在Kali里自带了。

下载好题目提供的内存dump文件 WIN-LQS146OE2S1-20201027-142607.raw

为了使volatility能从内存dump文件中更准确的分析数据,需要指定不同操作系统的配置文件(通过 --profile参数),所以先使用 volatility 的 imageinfo指令去确定一下该内存dump文件应使用哪个配置文件。

volatility -f WIN-LQS146OE2S1-20201027-142607.raw imageinfo

在这里插入图片描述
输出结果 Suggested Profile(s) 一项罗列了建议使用的配置文件,选择其中一个即可,这里我们使用 Win7SP1x64.

根据 SANS的Memory Forensics Cheat Sheet 备忘录里提到的内存分析指导,识别可疑/恶意进程是第一步。
在这里插入图片描述
这里使用 volatility 的pslist指令列出内存dump文件里的所有进程:

volatility -f WIN-LQS146OE2S1-20201027-142607.raw --profile=Win7SP1x64 pslist

在这里插入图片描述
如上图,可以看到存在一个cmd.exe进程,这说明有一个活动的终端会话。接着使用 volatility 的cmdscan指令提取出命令历史:

volatility -f WIN-LQS146OE2S1-20201027-142607.raw --profile=Win7SP1x64 cmdscan

在这里插入图片描述
bingo! 命令历史记录很少,有趣的来了,一条powershell命令,它将外部站点托管的powershell脚本下载到受害的Windows服务器的启动目录中,想要让这个powershell脚本随服务器启动而自动运行。

http://bit.ly/SFRCe1cxTmQwd3NfZjByM05zMUNTXzNIP30=.ps1

将url中的文件名进行base64编码后,得到本题的flag:
在这里插入图片描述

xc8qanAFenlka@x1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021美亚杯第七届中国电子数据取证团体赛题目详解write up
weixin_42744595的博客
11-14 9146
2021“美亚杯”第七届中国电子数据取证团体赛题目详解
2020年“创享杯”第一届电子数据取证线上大比武部分Writeup
啥都弄
01-26 3207
2020创享杯电子数据取证Writeup
[2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
ShenZ的博客
11-24 4949
内存取证 附件:mem_sec.vmem 1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述问题。请根据u盘里的mem_sec.zip文件进行分析取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写) 2.经过入侵分析发现该主机的使用人员曾经访问过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/) 1https://mail.td?
蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)
mumuzi的博客
08-05 8569
2018第四届美亚杯中国电子数据取证大赛个人赛write up
weixin_42744595的博客
01-04 1万+
解析:通过反编译发现里边只有两个.class文件,估计占用空间也就十几K,可是jar包却要200多K,但是怎么分析能够得到生成的文件我还没找到,如果个人赛现场开虚拟机用动态分析运行监控的话,太浪费时间了,并且不一定能找到答案。27. 接上题,""的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)?7. 在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么?(答案格式: 扇区, Sector)(答案格式:RID) (2分)?
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
HITCON-Training-Writeup:https的简要说明
04-29
静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ ...
2019.4 DDCTF web题--writeup
04-14
这篇writeup涉及的是2019年4月的DDCTF(web)竞赛中的第一道题目——滴。这是一道关于Web安全和编码解码的挑战。让我们深入解析这个过程。 首先,URL `...
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 464
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
hack the box-challenges:Export题解
zr1213159840的博客
04-30 582
打开题目,能看到关于题目的一段描述,大概内容为:我们发现了与我们其中一台服务器的可疑连接,并立即进行了内存转储。你能弄清楚攻击者在做什么吗? 下载提供的files,文件为raw格式。应该是内存相关的信息镜像存储下来了。 通过搜索,可以用Volatility在kali中读取。安装可以按照这个下面这个教程。教程中提供了好几个方法安装,我测试了第一个方法可行,那个直接放在/usr/sbin目录下面,我测试了后不行。 https://www.cn不logs.com/yunqian2017/p/14769955.
Hack The Box Starting Point 渗透测试入门靶场 TIER 2 - Oopsie
Start C的博客
05-18 575
每当执行包含身份验证机制的 Web 评估时,始终建议检查 cookie、会话并尝试弄清楚访问控制的真正工作原理。 在许多情况下,远程代码执行攻击和系统立足点本身可能无法实现,而是在链接不同类型的漏洞和漏洞之后实现。 在此框中,我们将了解信息泄露和访问控制损坏类型的漏洞,即使它们看起来不是很重要,也会在攻击系统时产生很大的影响,因此即使是很小的漏洞也很重要。 先扫描一下:namp -sV -sC 10.129.133.42 开放了3个TCP端口,22 ssh,80 http,还有一个10626。 既然有8.
Hack the box (HTB) Metatwo靶机
qq_58869808的博客
11-05 5075
hackthebox metatwo靶机
HackTheBox 如何使用
网络安全学习
04-14 4643
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start point 5.点击想要完成的靶机,比如第 0 层的第一个靶机,选择 connnect to htb 选择 openvpn 会自动下载 openvpn 的文件,然后用 openvpn 导入,稍等一下即可连接 在 kali(linux)中如何连接? 同样是执行下载的文件 ┌──(root💀kali)-[~/d
Hackthebox入门
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 8061
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
CTF之misc-内存分析(Volatility)
热门推荐
Battery的博客
05-04 12万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
mac 使用ssh 密钥登录linux 服务器
欢迎来到我的博客
07-24 362
mac 使用ssh 密钥登录linux 服务器
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 356
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值