2018护网杯内存取证

已于 2023-04-18 17:07:27 修改
阅读量227 收藏 1
点赞数
分类专栏: 调查取证 文章标签: 安全 volatility 内存取证 技能大赛 护网杯
于 2022-09-22 10:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/126986473
版权

作者:Swback
知乎:https://www.zhihu.com/people/back-88-87
CSDN:https://blog.csdn.net/qq_30817059

技术交流Q群:768493664

#查看profile
volatility -f easy_dump.img imageinfo

在这里插入图片描述

# 查看进程 发现notepad.exe
volatility -f easy_dump.img --profile=Win7SP1x64 pslist

在这里插入图片描述

# 查找文本文档 并未发现有用信息
#查找常见文件 发现一张图片
volatility -f easy_dump.img --profile=Win7SP1x64 filescan |grep "txt\|png\|gif\|jpg\|jpeg\|zip\|rar\|7z\|Downloads\|Desktop"

在这里插入图片描述

#导出之后,发现图片存在异常
binwalk file.None.0xfffffa8008355410.vacb

在这里插入图片描述

#通过binwalk -e 分理出一个压缩包和img镜像
#通过md5比对,压缩包内的文件就是img文件

在这里插入图片描述

#通过文本文档打开发现里面还有内容 应该还有一个hint.txt 和.message.swp

在这里插入图片描述

#接着通过binwalk -e 分离文件 得到0.ext(这个文件和上述图片内容一样) 和一个文件夹
binwalk -e message.img

在这里插入图片描述

#在文件夹中发现hint.txt和一个隐藏文件夹 打开hint.txt内容应该是坐标

在这里插入图片描述

在这里插入图片描述

#通过python 将坐标转化为图片
import matplotlib.pyplot as plt
import numpy as np

x = []
y = []
with open('hint.txt','r') as f:
   datas = f.readlines()
   for data in datas:
        arr = data.split(' ')
        x.append(int(arr[0]))
        y.append(int(arr[1]))
     
plt.plot(x,y,'ks',ms=1)
plt.show()

二维码不知道为什么一直显示违规,就不放了

#识别二维码得到维吉尼亚的密钥"aeolus",现在应该找到维吉尼亚的密文。

关于.Trash文件夹的描述自行百度。

#在files文件夹下发现.message.swp

在这里插入图片描述

#vim打开.message.swp 是乱码
#查看下16进制字符串
strings .message.swp 最后一句应该就是维吉尼亚,通过二维码获得的密钥`aeolus`解密得到flag

在这里插入图片描述

在这里插入图片描述

SwBack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ctf内存取证----easy_dump
MOLLMY的专栏
09-15 2951
前一段时间又做了去年杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系统为Win7SP1x64 Setp 2 查看进程列表 查看命令行历史 没有什么发现 Step 3 执行netscan、iehisto...
ctf 内存取证的一些命令
舞动的獾
11-12 7948
内存取证 相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件 常用命令 在kali下用工具volatility 查看系统信息 volatility -f mem.raw imageinfo 如下显示的系统都有可能,可以一个个的试试 查看运行程序列表 volatility -f mem.raw --profile=Win7SP1x64 pslist ...
Otterctf 2018 内存取证
Czheisenberg的博客
03-28 5757
内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与络攻击或络犯罪相关的数字证据,在络应急响应和络犯罪调查中发挥着不可替代的作用
内存取证之volatility(例题[杯]Easy_dump)
苏生要努力
02-27 738
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
【CTF整理】电子取证之Easy_dump(18杯)
SunnyCat
06-18 6931
目录电子取证之Easy_dump(18杯)资源和连接正文:0x010x020x030x040x050x060x070x080x090x100x110x12总结: 电子取证之Easy_dump(18杯) 资源和连接 原题资源:https://pan.baidu.com/s/1z73M2MRr6W6AfM57lomF-w 提取码:1tf5 声明:本题的解法众多,我在重温这道题的时候也是借鉴了很多大佬的文章,但是本篇文章的内容都是自己所做所写,仅供大家技术交流。 参考链接: 2018杯——easy_d
2018杯逆向题目
10-16
2018杯逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
2020全国工业互联安全技术技能大赛-杯-chinaiisc2020.zip
10-24
2020全国工业互联安全技术技能大赛,原来的杯,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
鼎杯writeup-先锋1
08-04
鼎杯writeup-先锋1】的知识点总结: 在络安全竞赛“鼎杯”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
2020全国工业互联安全技术技能大赛-杯原题及附件-chinaiisc2020
01-11
2020全国工业互联安全技术技能大赛,原来的杯,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
各大厂商面试题汇总
06-26
包括go语言免杀shellcode、Windows Defender防御机制、卡巴斯基进程保、Fastjson不出内存Webshell命令执行、域内渗透、正向shell方法、域内委派、Shiro漏洞类型、721原理、Oracle攻击利用、三大洞、天擎...
2018杯——easy_dump
weixin_40709439的博客
10-19 3383
题目: 链接: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取码: axgp 做题时看到下载下来的600m,懵逼中,看到是img镜像文件当然想到的是利用diskgenuis恢复文件找特别文件再进行解密。 一直做不出,是我想的太简单了,昨天看了大佬写的wp,满怀敬佩的心复现一下 参考i春秋大佬:lem0n   实验用到的工具: k...
杯writeup以及赛后反思
沐沐的博客
10-13 1562
迟来的签到题 这个题目给了一个base64加密过的字符串,还有题目的提示信息是easy xor???猜想是先将这个字符串解密然后和一个数来异或,但是不知道和谁异或,所以就采用了爆破的方式来爆破出异或的值和flag。 解题脚本: #conding=utf-8 import base64 as bs s="AAoHAR0jJ1AlVVEkU1BUVCAlIlFTUVUiUFRTVFVeU1FXU...
杯-easy_tornado
wyj_1216 House
10-14 7630
进入题目站,发现三个文件 首先进入第一个文件Orz.txt,发现提示渲染函数render(),直接将文件内容显示在页上 再进入第二个文件hint.txt,发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和...
web buuctf [杯 2018]easy_tornado1
weixin_44214568的博客
03-12 4440
分解信息量: 1.题目名称是easy-tornado:tornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web页界面进行编辑的函
通过dns2tcp绕过校园认证进行免费上
SwBack的博客
03-03 7494
通常连接校园都需要在web页面或者客户端登陆学生账号,才可以使用。 而我们要做的,就是免费上
redis访问未授权漏洞
SwBack的博客
03-25 101
漏洞成因: 默认绑定在0.0.0.0:6379 且没有添加防火墙规则,导致暴漏在公中 没有设置密码认证,(一般为空),可以免密码远程登录redis服务。 漏洞危害: 无需认证,直接登录。导致敏感信息泄露 写入木马。 启动redis redis-server /etc/redis.conf 利用方式:常用第一种 1)写入webshell 需要拥有读写权限 需要知道web目录,AWD中目录一样。 进入redis的src目录,执行登录命令 ./redis-cli -h 目标ip 执行以下命令进行写入w
内存取证习题复现
m0_50911938的博客
01-10 1503
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
2018杯MISC题目迟来的签到题easy xor???的writeup
iqiqiya的博客
10-13 4108
这道题我异或?半天。。。 最后队友小煤球想出来直接异或给的串中所有字符 得到flag from base64 import * b=b64decode("AAoHAR1WX1VQVlNVU1VRUl5XXyMjI1FWJ1IjUCQnXlZWXyckXhs=") data=list(b)#转成列表 for k in range(200): flag="" ...
自建SMTP服务器:如何保障安全稳定的发信?
最新发布
danplus的博客
07-17 338
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
[杯 2018]easy_tornado
03-16
杯 2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值