内存取证CTF-Memlabs靶场1

最新推荐文章于 2024-04-09 16:35:44 发布
最新推荐文章于 2024-04-09 16:35:44 发布
阅读量2.3k 收藏 19
点赞数 2
分类专栏: 网络安全 文章标签: 渗透测试 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/122763360
版权

1.挑战说明

我姐姐的电脑坏了。 我们非常幸运地恢复了这个内存转储。 你的工作是从系统中获取她所有的重要文件。 根据我们的记忆,我们突然看到一个黑色的窗口弹出,上面有一些正在执行的东西。 崩溃发生时,她正试图画一些东西。 这就是我们从崩溃时所记得的一切。

注意:此挑战由 3 个flag组成。

靶机地址:MemLabs/Lab 1 at master · stuxnet999/MemLabs · GitHub

2.Flag1

2.1 获取镜像操作系统版本

volatility -f MemoryDump_Lab1.raw imageinfo 

2.2 获取CMD命令使用情况

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdscan

2.3 获取CMD输出

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

2.4 使用base64解码,得到第一个flag

echo 'ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=' |base64 -d

获取到flag:flag{th1s_1s_th3_1st_st4g3!!}

3.Flag2

3.1 分析进程信息

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist

3.2 进程数据保存

mspaint.exe 为windows自带画图工具,为PID 2424的mspaint.exe程序以dmp格式保存出来

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D /root/Desktop/memlabs 

3.3 文件调整格式

mv 2424.dmp 2424.data

3.4 图片提取

使用gimp打开图片文件

gimp 2424.data

3.5 调整图像数值

设置宽度和高度及位移度,使图片文字清晰可见

3.6 图像变换

竖直翻转,并旋转180度

3.7 获取到flag

获取到flag值为:flag{good_boy_good_girl}

4.Flag3

4.1 获取命令行下运行的程序cmdline

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline

4.2 检索文件

文件保存在\Alissa Simpson\Documents\目录下

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan |grep "Important.rar"

4.3 dumpfiles提取文件

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D /root/Desktop/memlabs 

4.4 修改文件后缀

mv file.None.0xfffffa8001034450.dat file.None.0xfffffa8001034450.rar

4.5 解压

使用压缩工具进行尝试解压,注释中提示解压密码为 Alissa的NTLM hash值(大写)

4.6 使用hashdump获取hash值

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump 

获取到Alissa的HASH为:f4ff64c8baac57d22f22edc681055ba6,转换为大写:F4FF64C8BAAC57D22F22EDC681055BA6

4.7 获取flag

使用上述密码解压file.None.0xfffffa8001034450.rar文件,得到文件:flag3.png

flag为:flag{w3ll_3rd_stage_was_easy}

KALC
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_84264374的博客
05-02 279
将对应偏移量处的文件通过 dumpfiles 命令 dump 下来得到两个文件将 .dat 文件后缀名改为 .exe,发现是一个WinRAR自解压文件,进行自解压然后,在解压后的 \HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images 目录下得到一个加密文件 images0.tar.enc使用开源工具 kobackupdec 进行手机备份文件解密。
Memlab,一款分析 JavaScript 堆并查找浏览器和 Node.js 中内存泄漏的开源框架
o__cc的博客
09-16 904
Memlab 是一款 E2E 测试和分析框架,用于发现 JavaScript 内存泄漏和优化机会。 Memlab 是 JavaScript 的内存测试框架。它支持定义一个测试场景(使用 Puppeteer API),教 Memlab 如何与您的单页应用程序(SPA)交互,Memlab 可以自动处理其余的内存泄漏检查: 与浏览器交互并获取 JavaScript 堆快照 分析堆快照并过滤掉内存泄...
OtterCTF内存取证wp
m0_66638011的博客
05-09 3960
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
内存取证系列1
SwBack的博客
08-02 327
My sister's computer crashed. We were very fortunate to recover this memory dump. Your job is get all her important files from the system. From what we remember, we suddenly saw a black window pop up with some thing being executed. When the crash happened,
一文讲述内存取证的数据保存、数据分析、CTF实战案例
qq_53058639的博客
10-27 213
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
OtterCTF---Memory Forensics内存取证(1-13)
m0_65712192的博客
05-09 1522
OtterCTF 内存取证(1-13)
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
易于扩展:通过插件来扩展 Volatility 的分析能安装分为三步:下载安装必要的 python 依赖件安装本体你可以在 Release 中找到对应你系统(M
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
pytorch_memlab:在pytorch中分析和检查内存
05-04
pytorch_memlab 一个简单,准确的pytorch CUDA内存管理实验室,它由有关内存的不同部分组成: 特征: 内存探查器:具有简单API的line_profiler样式CUDA内存探查器。 内存报告器:一个报告器,用于检查占用CUDA存储器的张量。 礼貌:一个有趣的功能,可以将所有CUDA张量临时移到CPU内存中以礼貌,当然也可以向后传送。 IPython通过%mlrun / %%mlrun行/单元魔术命令提供支持。 目录 安装 发布版本: pip install pytorch_memlab 最新版本: pip install git+https://github.com/stonesjtu/pytorch_memlab 有什么用 对于新手和有经验的程序员,pytorch中的内存不足错误经常发生。 一个普遍的原因是,大多数人并没有真正了解pytorch和
CTF一本通(ctf-all-in-one)
04-27
CTF一本通,本文档页数相当大,内容覆盖全面,从原理到实战,反正就很牛逼!
CTF-misc内存取证心得笔记
Pompey_wp的博客
09-17 263
除此之外还需要 /boot 目录下的 System.map 文件,然后将这两个文件打包压缩,放在 volatility/plugins/overlays/linux 目录下即可,再执行 volatility --info 就可以看到新的 Linux profile 了。dump 出来的内存中往往会存在一些字符串,可以用 strings 命令提取出来,然后通过搜索来寻找一些特定的字符串,比如 flag、secret 啥的。volatility3 -f banners 可以检测当前 Linux 版本。
内存取证CTF-Memlabs靶场2
qq_42947816的博客
02-01 1302
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
最新发布
2401_84164546的博客
04-09 1060
外链图片转存中…(img-JVaus8t7-1712651733217)][外链图片转存中…(img-ySbwc2UR-1712651733218)][外链图片转存中…(img-5zde9ygl-1712651733218)][外链图片转存中…(img-UTFdPwKF-1712651733219)][外链图片转存中…(img-T1up9liY-1712651733219)][外链图片转存中…(img-0707naut-1712651733219)]
CTF-朴实无华的内存取证
qq_43611848的博客
01-11 4521
题目描述 链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ 提取码:lzsa 解题过程: 1.下载文件1.raw,放到kali里。 2.volatility -f 1.raw imageinfo 2.尝试第一个profile类型,查看进程 volatility -f 1.raw pslist --profile=WinXPSP2x86 3.grep过滤flag关键字试试 volatility -f 1.raw --profile=WinXPSP2x86
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值