内存取证CTF-Memlabs靶场2

最新推荐文章于 2024-04-26 09:49:13 发布
最新推荐文章于 2024-04-26 09:49:13 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: 网络安全 文章标签: 渗透测试 靶机 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/122763382
版权

1.挑战说明

我们公司的一位客户由于未知错误而失去了对其系统的访问权限。 据推测,他是一位非常受欢迎的“环保”活动家。 作为调查的一部分,他告诉我们他的应用程序是浏览器,他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其归还给我们。

注意:此挑战由3个flag组成

靶机地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%202

2.Flag1

2.1 获取操作系统版本

volatility -f MemoryDump_Lab2.raw imageinfo

得到大致操作系统为Win7SP1x64

2.2 查看CMD命令历史使用记录

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdscan

发现进程conhost.exe,PID为2068和3852

2.3 获取CMD输出

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 consoles

未发现有用信息

2.4 显示进程环境变量-进程3852

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 3852

得到ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9

base64解码后得到flag:flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}

2.5 显示进程环境变量-进程2068

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 2068

与上述2.4完全一致

3.Flag2

3.1 获取IE历史记录

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 iehistory

得到几个疑似文件Important.rarSW1wb3J0YW50.rarstAg3_5.txtPassword.pngHidden.kdbx

3.2 文件对象扫描,查看各个敏感文件

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Password.png

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Hidden.kdbx

只有Password.png和 Hidden.kdbx能够找到

3.3. 提取图片Password.png

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ../memlabs 

3.4 查看Password.png图片内容

得到一个提示,密码为:P4SSw0rd_123,但没有拿到flag

3.5 提取文件Hidden.kdbx

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D ../memlabs

3.6 Hidden.kdbx文件查看

  • 文件提示需要密码

  • 使用Password.png中的P4SSw0rd_123 ,成功打开文件

  • 在Recycle Bin中找到Flag,得到Flag:flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!}

4.Flag3

4.1 提取Chrome浏览器历史记录

此处使用外部插件chromehistory.py 链接:https://github.com/superponible/volatility-plugins

vol.py --plugins=./plugins -f /root/Desktop/memlabs/MemoryDump_Lab2.raw --profile Win7SP1x64 chromehistory

提取出可疑链接:https://mega.nz/#F!TrgSQQTS!H0ZrUzF0B-ZKNM3y9E76lg

4.2 访问链接并下载Zip文件

4.6 压缩包解压

  • 解压缩发现需要密码

  • 在注释中找到信息Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase.
  • 密码为Lab-1中第三阶段Flag的sha1,且为小写
  • Lab-1第三阶段Flag为:flag{w3ll_3rd_stage_was_easy},对其加密为SHA1,密码为:6045dd90029719a039fd2d2ebcca718439dd100a

4.7 得到Flag值为:flag{oK_So_Now_St4g3_3_is_DoNE!!}

KALC
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Memlab,一款分析 JavaScript 堆并查找浏览器和 Node.js 中内存泄漏的开源框架
o__cc的博客
09-16 920
Memlab 是一款 E2E 测试和分析框架,用于发现 JavaScript 内存泄漏和优化机会。 Memlab 是 JavaScript 的内存测试框架。它支持定义一个测试场景(使用 Puppeteer API),教 Memlab 如何与您的单页应用程序(SPA)交互,Memlab 可以自动处理其余的内存泄漏检查: 与浏览器交互并获取 JavaScript 堆快照 分析堆快照并过滤掉内存泄...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
内存取证CTF-Memlabs靶场4
qq_42947816的博客
02-01 1482
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
探索 KeeWeb: 在线KDBX管理器,安全存储您的密码
最新发布
gitblog_00030的博客
04-26 373
探索 KeeWeb: 在线KDBX管理器,安全存储您的密码 项目地址:https://gitcode.com/keeweb/kdbxweb 在这个数字化的时代,我们的生活依赖于各种在线账户,每个账户都可能有自己的密码。为了保护这些信息的安全,一个强大的密码管理工具是必不可少的。KeeWeb 是一款开源、跨平台的在线密码管理应用,支持KDBX文件格式,让您能够轻松、安全地管理和访问您的密码库。 项...
一文讲述内存取证的数据保存、数据分析、CTF实战案例
ZL_1618的博客
09-13 226
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1285
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1579
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
ctf-all-in-one
01-30
ctf-all-in-one
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
MemLabs:针对记忆法证学感兴趣的个人的,具有教育,CTF风格的实验室
02-06
MemLabs:针对记忆法证学感兴趣的个人的,具有教育,CTF风格的实验室
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
keepass.py:用于读取 kdbx 文件的后端和命令行工具
07-07
keepass.py 用于读取 kdbx 文件的后端和命令行工具 使用作为实现格式的文档。 不幸的是,该链接上的数据不完整,导致实施无法正常工作。
禾川PLC解密 禾川LX0N LX1N LX2N解密软件 HCA0 HCA1 HCA2 HCA8_PLC_解密软件.zip
01-05
禾川PLC解密 LX0N LX1N LX2N解密软件 HCA0 HCA1 HCA2 HCA8_PLC_解密软件 (注意,那些PLC如果连接都通信不上的就解不了的哦) (注意,软件不是万能的,遇到有些用不了的也正常,如果介意的话,请不要拍)
探索 MemLabs:一款创新的内存安全学习与实验平台
gitblog_00034的博客
03-25 335
探索 MemLabs:一款创新的内存安全学习与实验平台 项目地址:https://gitcode.com/stuxnet999/MemLabs 项目简介 MemLabs 是一个开源项目,由开发者 stuxnet999 创建,旨在提供一个互动的学习环境,帮助技术爱好者和专业人员深入理解内存安全概念并进行实践操作。通过一系列精心设计的实验室,用户可以逐步了解内存漏洞、缓冲区溢出等常见问题,并学会如何...
取证靶机之HA: FORENSICS
shy的博客
12-29 3250
好久没有做靶机了,随着年纪的增长,工作的改变,对技术越来越不敏感,越来越不感兴趣了,最近看了一篇文件,正好是取证靶场,特来复现,学习一下。 下载地址: https://www.vulnhub.com/entry/ha-forensics,570/ 查找靶机IP地址: 由于我设置的NAT模式,用nmap扫描NAT网段就行。 扫描开放端口: 访问80端口: 点击上图获取flag按键,出现如下图片。 怀疑是隐写。下载相关工具,进行查看,发现。。。没用 apt-get i...
OtterCTF内存取证wp
m0_66638011的博客
05-09 4103
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
内存取证CTF-Memlabs靶场1
qq_42947816的博客
02-01 2407
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值