因为本地保存的图片,每次发出来,还需要一个一个重新上传校对,就很麻烦,文章6月就写完了。实在是上传太累了。
文章目录
文档说明
作者:SwBack
时间:2022-5-5 20:24
说明:WP中关于flag的顺序并无排版,自行判别flag序列
挑战说明
- 我们公司的一位客户由于未知错误而失去了对其系统的访问权限。据推测,他是一位非常受欢迎的“环保”人士。作为调查的一部分,他告诉我们他的应用程序是浏览器,他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其归还给我们。
注意: 此挑战由 3 个标志组成。
- One of the clients of our company, lost the access to his system due to an unknown error. He is supposedly a very popular “environmental” activist. As a part of the investigation, he told us that his go to applications are browsers, his password managers etc. We hope that you can dig into this memory dump and find his important stuff and give it back to us.
Note: This challenge is composed of 3 flags.
解题过程
提取题目信息: environmental(环境)、浏览器、密码管理、资料
flag 1
查看系统
volatility -f Challenge.raw imageinfo
查看进程
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 pslist
重点关注进程: explorer.exe(文件资源管理器)、cmd.exe(命令提示符)、chrome.exe(浏览器)、KeePass.exe(密码管理工具)、notepad.exe(文本工具)
查看命令提示符输出信息
并未发现有用信息
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdscan
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 consoles
查看命令行历史记录
发现 keeppass数据库存储文件
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdline
查看数据库文件虚拟地址 并提取
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep "Hidden.kdbx"
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D ./
john破解该文件
破解kdbx文件需要先通过keepass2john对数据进行处理
keepass2john file.None.0xfffffa8001593ba0.dat >keepHash
cat keepHash
密码破译不出来,怀疑密码以文件的形式存储在电脑上
扫描常见的文件格式
发现特殊图片
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep "png\|gif\|zip\|rar\|jpg\|jpeg\|7z\|txt"
导出图片 发现密码
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ./
导入数据库 发现flag
flag 2
查看浏览器记录
iehistory 无法使用 工具自身并没有关于chrome浏览器的插件。
在github上找到了一款关于浏览器的插件
volatility --plugins=/plugins -f MemoryDump_Lab2.raw --profile=Win7SP1x64 chromehistory
发现一个链接 下载链接
下载下来是个压缩包,需要Lab-1的flag3的hash值作为密码 还需要是小写
lab-1 flag3 flag{w3ll_3rd_stage_was_easy}小写hash值为6045dd90029719a039fd2d2ebcca718439dd100a
解密得到flag
flag 3
查看环境变量
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars
解密得到flag
echo "ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9" |base64 -d
flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}
714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
