内存取证CTF-Memlabs靶场3

最新推荐文章于 2024-05-12 22:57:41 发布
最新推荐文章于 2024-05-12 22:57:41 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 网络安全 文章标签: 网络安全 渗透测试 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/122763397
版权

1.挑战描述

一个恶意脚本加密了我系统上一条非常机密的信息。你能帮我恢复信息吗?

注意:此挑战仅由1个标志组成,并分为2个部分。 提示:您需要标志的前半部分才能获得第二半部分。 您将需要这个额外的工具来解决挑战, 

$ sudo apt install steghide

本练习的标志格式为:inctf{s0me_l33t_Str1ng}

靶机地址:MemLabs/Lab 3 at master · stuxnet999/MemLabs · GitHub

2.Flag前半部分

2.1 获取操作系统版本

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw imageinfo

2.2 查看正在运行的进程命令

得到两个敏感的文件vip.txtevilscript.py 

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 cmdline

2.3 提取文件

将两个文件尝试进行提取

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep vip.txt
vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep evilscript.py
vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003e727e50 -D ../memlabs
vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003de1b5f0 -D ../memlabs

2.4 文件重命名

将提取出来的文件进行重命名

mv file.None.0x83e52420.dat vip.txt
mv file.None.0xbc2b6af0.dat evilscript.py

2.5 查看文件内容

txt文本,内容为:am1gd2V4M20wXGs3b2U=

python脚本,此脚本是用单个字符进行了3次XOR异或运算,然后用base64编码生成vip.txt

2.6 获取Flag

我们首先要对vip.txt中的文本进行base64解码为:jm`wex3m0\k7oe,再进行3次XOR运算,最终拿到前半段flag:inctf{0n3_h4lf

>>> s = 'jm`wex3m0\k7oe'
>>> ''.join(chr(ord(i)^3) for i in s)
'inctf{0n3_h4lf'

3.Flag后半段

3.1 题意分析

按照挑战描述,发现要求安装steghide,这是一个隐写程序,能够隐藏在图片及音频中,猜测flag就在图片或者音频文件中

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep bmp
vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep jpeg

3.2 图片文件提取

文件提取并更改文件名字与格式

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x00000000361519f0 -D ../memlabs
vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003dea1978 -D ../memlabs
vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x0000000004f34148 -D ../memlabs
mv file.None.0x843d1890.dat user.bmp
mv file.None.0x85274da0.dat python.bmp
mv file.None.0x843fcf38.dat suspision1.jpeg

3.3 使用隐写程序读取隐藏内容

文件密码为Flag上半段内容,即:inctf{0n3_h4lf,发现在读取suspision1.jpeg时有了收获,并得到文件'secret text'

3.4 获取Flag后半段

拿到后半段Flag为:_1s_n0t_3n0ugh}

结合上半段Flag,最终Flag为:inctf{0n3_h4lf_1s_n0t_3n0ugh}

KALC
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存取证ctf
shshshsh_的博客
11-11 222
前言,前两天我们学习了安装和基本命令,所以今天我们就找几个ctf的题目来练练手。
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
最新发布
2401_84281748的博客
05-12 702
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
OtterCTF内存取证wp
m0_66638011的博客
05-09 4065
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2486
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
内存取证CTF-Memlabs靶场1
qq_42947816的博客
02-01 2398
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
CTF取证技术实战,图片、文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 1671
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
BMZCTFmemory
末初的CSDN博客
12-13 1040
http://bmzclub.cn/challenges#memory 题目描述.txt 分析内存镜像,破解管理员的登录密码,flag为明文密码的MD5值 把内存中所有用户的hash全部dump出来 存为文件,使用john进行爆破 得到Administrator账户密码:12345678 PS C:\Users\Administrator> php -r "var_dump(md5('12345678'));" Command line code:1: string(32) "25d55a
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
IJCTF2021-Memory
08-04
记忆 描述: Do you remember the past? You lived hard. Now, you need to take some rest by remembering your past. Run `/flag` http://34.131.30.75:31337/ Note: You don't need any bruteforce. The provided `phpinfo` has all the information for solving this challenge. So, I'll not provide Dockerfile of this challenge. Author:`sqrtrev#9113` File Attached 标志:ijctf{the_memories_from_the_past}
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
内存取证系列3
SwBack的博客
11-07 373
steghide 工具隐写/提取 均需要密码 flag前部分应该为密码。提取题目信息: 恶意脚本、steghide(图像/音频隐写工具)
CTF-内存取证
梳碧湖的砍柴人
12-13 2986
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
数字取证学习之内存取证CTF解题实例
一位热爱网安的年轻人的博客
11-19 1836
数字取证内存取证CTF解题案例
内存取证CTF-Memlabs靶场4
qq_42947816的博客
02-01 1476
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
Memlab,一款分析 JavaScript 堆并查找浏览器和 Node.js 中内存泄漏的开源框架
o__cc的博客
09-16 916
Memlab 是一款 E2E 测试和分析框架,用于发现 JavaScript 内存泄漏和优化机会。 Memlab 是 JavaScript 的内存测试框架。它支持定义一个测试场景(使用 Puppeteer API),教 Memlab 如何与您的单页应用程序(SPA)交互,Memlab 可以自动处理其余的内存泄漏检查: 与浏览器交互并获取 JavaScript 堆快照 分析堆快照并过滤掉内存泄...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值