hgame-2022-week4

于 2023-02-07 21:45:00 发布
阅读量375 收藏 1
点赞数 2
分类专栏: misc ctf 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73734019/article/details/128909899
版权
ctf 同时被 2 个专栏收录
18 篇文章 4 订阅
订阅专栏
misc
4 篇文章 0 订阅
订阅专栏

目录

misc

ezWin - variables

ezWin - 7zip

ezWin - auth

misc

ezWin - variables

从0开始学windows内存取证呜呜呜

volatility3 下载安装:

kali:

git clone GitHub - volatilityfoundation/volatility3: Volatility 3.0 development

此时桌面生成一个文件夹,cd到文件夹

pip3 install -r requirements-minimal.txt

pip3 install -r requirements.txt

下载下面这个字符集

https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip

然后解压后放到symbols目录下

然后执行

python3 setup.py build

python3 setup.py install

后面做题填个坑:

然后安装环境requirements.txt报错时

sudo apt install libsnappy-dev

安装成功

常用命令:

  • imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数
  • pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
  • pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
  • psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
  • cmdscan:可用于查看终端记录
  • notepad:查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行,可以尝试使用editbox)
  • filescan:扫描所有的文件列表
  • linux配合 grep 命令进行相关字符定向扫描,如:grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’
  • dumpfiles:导出某一文件(指定虚拟地址)
  • 需要指定偏移量 -Q 和输出目录 -D
  • mendump:提取出指定进程,常用foremost 来分离里面的文件
  • 需要指定进程-p [pid] 和输出目录 -D
  • editbox:显示有关编辑控件(曾经编辑过的内容)的信息
  • screenshot:保存基于GDI窗口的伪截屏
  • clipboard:查看剪贴板信息
  • iehistory:检索IE浏览器历史记录
  • systeminfo:显示关于计算机及其操作系统的详细配置信息(插件)
  • hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)
  • mftparser:恢复被删除的文件
  • svcscan:扫描 Windows 的服务
  • connscan:查看网络连接
  • envars:查看环境变量
  • dlllist: 列出某一进程加载的所有dll文件
  • hivelist: 列出所有的注册表项及其虚拟地址和物理地址
  • timeliner: 将所有操作系统事件以时间线的方式展开

官方教程:Windows Tutorial — Volatility 3 2.4.1 documentation

题目这个variables是啥变量,猜测是环境变量

使用命令

python3 vol.py -f /home/kali/桌面/win10_22h2_19045.2486.vmem envars

翻找到一个环境变量

ezWin - 7zip

python3 vol.py -f /home/kali/桌面/win10_22h2_19045.2486.vmem filescan > 1.txt

查看文件

打开1.txt检索flag发现存在flag.7z文件

提取这个文件

python3 vol.py -f ../win10_22h2_19045.2486.vmem dumpfiles --virtaddr 0xd0064181c950

得到

发现需要密码

文件名给了提示

nt_hash 是Ntlm hash 里面有用户名和密码

python3 vol.py -f ../win10_22h2_19045.2486.vmem windows.hashdump

这里一开始尝试的时候报错了

原因是pip安装不了snappy-dev库

前面安装环境的时候 pip3 install -r requirements.txt 报错

然后就跑出账号密码了

hgame{e30b6984-615c-4d26-b0c4-f455fa7202e2}

ezWin - auth

python3 vol.py -f ../win10_22h2_19045.2486.vmem windows.cmdline

一开始没啥思路,就先做了第3题,没想到这题flag是下一题的key

python3 vol.py -f ../win10_22h2_19045.2486.vmem windows.hashdump

hgame{84b0d9c9f830238933e7131d60ac6436}

J_0k3r
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
记ECC例题
Emmaaaaa's blog
07-30 702
简单入门级ECC例题 discrete_log() 普适性Pohlig_Hellman算法 Smart’s attack 概念题 多项式求根 求点公式 私钥求解
REVERSE-COMPETITION-HGAME2022-Week4
P1umH0的博客
02-18 806
REVERSE-COMPETITION-HGAME2022-Week4( WOW )serverezvmhardasm ( WOW ) 32位exe,ida打开 观察伪代码逻辑,上面的红框中,输入经过加密,密文放入Buf2中,然后Buf2和已知的密文res比较 比较完,打印"win"或者"error" 发现下面还有一部分对Buf2处理的代码逻辑,而且几乎和上面对输入加密的结构是一样的 于是猜测下面的红框中就是解密逻辑 起调试,随便构造一个长度为32的输入 在调用memcmp前下断,将内存中Buf2的数据p
HGAME 2022 week4 (WOW)
weixin_53349587的博客
03-09 419
exe程序,32位,程序比较正常,就是运行错误之后会打开bilibili。。。 进入主函数进行分析: 通过分析可以发现,程序对输入进行关键加密运算是在第51-53行,奈何编程功底不好,分析了好久也写不出加密算法,最后没办法了,通过wp才知道原来是在第64-66行有相同的加密函数,我们只需随便输入32位的值,然后再在判断之前(memcmp函数执行之前)修改内存的值让其和已知的值相等即可,最后一直执行下去,就可以得到flag。 下断点,开始动调: 当eip执行到图中位置时,对Buf2的值进行修.
Byte Bandits CTF 2023
网安小菜鸡
02-06 225
web-wp
RSA小笔记
网安小菜鸡
01-15 208
RSA
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
Tales Of Vesperia HD Wallpapers Game Theme-crx插件
03-14
包括每个选项卡背景上来自hgame Tasp Of Vesperia Definitive的高清壁纸图像。 安装此扩展程序,以在每个新选项卡上获得《 Vesperia传说最终版》的高清图像! 我们始终会更新图像,因此请随时检查...我们将为您提供5...
Hgame-Week4
qq_53086690的博客
03-03 187
目录Webmacguffin Web macguffin 地址 :http://macguffin.0727.site:5000/ 提示:在我长大的这个城市里,每个人都有超越寻常的特长。我可以重启这个世界(是的整个世界),不仅仅是将时钟往回拨,而是将世界的一切,从原子层面恢复到一天前的状态。只有看到有人在哭泣时,我才会重启。包括我的记忆,全部重启。但是,不用担心,我的搭档有绝对记忆。然而,我们被困在了这一天里,漫无止境的星期日。有情报说,只要我们重启了这一天,“MacGuffin” 便会出现在我们面前,并
HGAME 2022 Writeup
m0_67390773的博客
03-03 2862
文章目录 Level - Week1 WEB easy_auth 蛛蛛…嘿嘿?我的蛛蛛 Tetris plus Fujiwara Tofu Shop MISC 欢迎欢迎!热烈欢迎! 这个压缩包有点麻烦 好康的流量 群青(其实是幽灵东京) CRYPTO Dancing Line Matryoshka English Novel Level - Week2 WEB Apache! webpack-engine At0m的留言板 一本单词书 Pokemon MISC
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
android手机应用源码Imsdroid语音视频通话源码.rar
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
JavaScript_超过100种语言的纯Javascript OCR.zip
05-20
JavaScript
JavaScript_跨平台React UI包.zip
05-20
JavaScript
node-v16.17.0-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值