What the password?
you got a sample of rick’s PC’s memory. can you get his user password?
查镜像信息
python2 vol.py -f OtterCTF.vmem imageinfo
mimikaz查明文密码
General Info
Let’s start easy - whats the PC’s name and IP address?
注册表
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名
使用hivelist命令列出注册表
相关资料中可以得知,主机名会出储存在\REGISTRY\MACHINE\SYSTEM中的ControlSet001\Control\ComputerName\ComputerName条目中,便可以直接读取
靶机的ip地址,则可以通过netscan模块来读取
就是这个ip了
NSSCTF{WIN-LO6FAF3DTFE-192.168.202.131}
Play Time
Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?进程分析
使用pstree命令以树的形式来列出正在进行的进程
lunarMS是个游戏
netscan命令查看网络连接状况,并且用过Pid=708这个线索,我们通过netscan模块再次检索网络连接,并借助grep进行筛选
NSSCTF{LunarMS-77.102.199.102}
Name Game
We know that the account was logged in to a channel called Lunar-3. what is the account name?
已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用grep指令筛选出所有的可打印句子,然后通过关键词Lunar-3来定位账号名可能会出现的地方
从上一步可以知道 LunarMS的PID是708 使用memdump插件将进程转存出来
然后,借助strings提取出所有的可打印字符,并借助grep进行筛选
结合题目,便可以略加猜测,用户名就是0tt3r8r33z3
Name Game 2
From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What's rick's character's name?
以上是十六进制数据
在linux下,xxd指令可以打印文件的hexdump信息,故借此筛选特定信息的位置
这个就是昵称
Silly Rick
Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password?
密码存储不安全
clipboard直接查看剪贴板
Hide And Seek
The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
找恶意软件名称
列出进程pstree
可疑的名字都试一试
最终NSSCTF{vmware-tray.exe}
Path To Glory
How did the malware got to rick's PC? It must be one of rick old illegal habits...
恶意软件是如何进入瑞克的电脑的?这一定是瑞克以前的一个非法习惯。。
进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了
filescan扫一下文件
都dump出来 ,第四个文件 cat出来东西了
Path To Glory 2
Continue the search after the way that malware got in.按照恶意软件进入的方式继续搜索
有很多Chrome信息,将Chrome浏览器进程转储下来
再看看有没有和Rick And Morty相关的信息
这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}
还看到
Bit 4 Bit
We've found out that the malware is a ransomware. Find the attacker's bitcoin address.我们发现该恶意软件是一种勒索软件。找到攻击者的比特币地址。
勒索软件总喜欢把勒索标志丢在显眼的地方,所以搜索桌面的记录
dump下来read_it 然后读一下
提示我们查看程序获得更多信息(就是上面的vmware-tray.exe)
提取后 根据题目提示 ransomware 搜索赎金相关内容
NSSCTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}
Graphic's For The Weak
There's something fishy in the malware's graphics意软件的图形中有一些可疑的东西
使用procdump转存进程的可执行文件
binwalk没分离出图片, foremost 能分离出
Recovery
Rick got to have his files recovered! What is the random password used to encrypt the files?瑞克必须恢复他的文件!用于加密文件的随机密码是什么?
重定向文本
strings -e l 3720.dmp > 3720.dmp.strings全局搜索主机名相关
grep “WIN-LO6FAF3DTFE” 3720.dmp.strings | sort | uniq
grep -C 5 “aDOBofVYUNVnmp7” 3720.dmp.strings 
NSSCTF{aDOBofVYUNVnmp7}
Closure
Now that you extracted the password from the memory, could you decrypt rick's files?现在您从内存中提取了密码,您可以解密 rick 的文件吗?
有了密码来解flag,先dump下来
解密过程
已知这个勒索软件为HiddenTear,直接在网上找到解密程序HiddenTearDecrypter
先将加密文件的末尾多余的0去掉,再把后缀加上locked
上面题目的图片也提示了
拿去解密,密钥已经知道了,直接输入
1142
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
