✿强网杯2021✿MISC1 BlueTeaming

最新推荐文章于 2021-11-29 09:05:01 发布
最新推荐文章于 2021-11-29 09:05:01 发布
阅读量467 收藏
点赞数 1
分类专栏: CTF misc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010418732/article/details/117917993
版权
CTF 同时被 2 个专栏收录
34 篇文章 6 订阅
订阅专栏
misc
19 篇文章 1 订阅
订阅专栏

题目要求找到powershell执行的脚本储存的注册表键
以下为整体思路
使用到工具 volatility、010editer
首先使用volatility查看dump文件基本情况
这里我使用的是windows下的volatility所以以下以windows语法为主

vol.exe -f memory.dmp imageinfo

在这里插入图片描述
如图所以要加上参数 --profile=Win7SP1x64
因为题目让找powershell下,所以先看一下日志文件

vol.exe -f memory.dmp --profile=Win7SP1x64 filescan|find "evtx"

在这里插入图片描述
使用dumpfiles命令将日志dump出来

vol.exe -f memory.dmp --profile=Win7SP1x64 dumpfiles -Q 0x000000013d9a7640 -D .

将后缀名修改为evtx,可以直接用windows自带的日志查看器打开
在这里插入图片描述
发现可疑内容
在这里插入图片描述
在这里插入图片描述
复制powershell -noprofile 在编辑器里面全局搜索看看有没有线索

在这里插入图片描述

vol.exe -f memory.dmp --profile=Win7SP1x64 printkey -K "Microsoft\Windows\Communication"

检查一下该键下面确实存在恶意代码
在这里插入图片描述
如图上面的注册表键就是对应的flag

将注册表值内容替换%%~a之后得到完整的脚本内容,火绒正常报毒
在这里插入图片描述
使用CyberChef可以将混淆还原
在这里插入图片描述

Tokeii
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
blue-teaming-with-kql:具有样本KQL查询示例的存储库,用于威胁搜寻
02-04
blue-teaming-with-kql:具有样本KQL查询示例的存储库,用于威胁搜寻
2018强网杯CTF-题目整理-校本图片Readme.zip
最新发布
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
[ctf misc][2021强网杯]BlueTeaming
ShenZ的博客
11-24 683
[2021强网杯]BlueTeaming 解压得BlueTeaming改后缀BlueTeaming.zip,再解压得memory.dmp发现是内存镜像 根据题目提示·Powershell scripts were executed by malicious programs. What is the registry key that contained the power shellscript content?· 先将注册表导出 volatility.exe -f C:\Users\shen\Deskt
强网杯2021 BlueTeaming (内存取证)
半岛铁盒的博客
06-17 515
翻译:Powershell脚本由恶意程序执行。包含power shellscript内容的注册表项是什么? 题目要求找到powershell执行的脚本储存的注册表地址 使用到工具 volatility、Windows Registry Recovery 解题过程 使用工具volatility。 volatility工具的安装文章我也写了,不了解的可以看看 首先查看镜像的系统信息,得到版本是Win7SP1x64 volatility_2.6_win64_standalone.exe -f .\me.
2021强网杯部分misc题解
Sapphire037的博客
06-20 845
Cipher man 下载得到memory和Secret,把memory放进虚拟机中,用vol取证,暂时没什么思路。查看Secret,用DiskGenius打开secret,发现有bitlocker加密,根据题目描述,解密的秘钥应该就在memory中,先filescan,发现一个可疑文件,dump下来得 下面这一串BitLocker的东西就是解密的密钥,成功打开secret,readme.txt里的话就是flag。 Eztime 下载得到 分别百度两个文件名,了解$Logfile是数据流文件,用文本文档打
强网杯2021 misc 复现
GrapeSour的博客
07-03 1048
强网杯BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime的复现 (纯萌新学步) 可以参考mumuzi大佬的wp https://blog.csdn.net/qq_42880719/article/details/117968361 BlueTeaming 审题 Powershell scripts were executed by malicious programs. What is the registry key that contained th
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
Blue-Team-Tools:脚本,工具的集合。 以及用于各种操作系统和应用程序的配置(全部免费和_或开源),以帮助在主动威胁下即兴进行蓝队防御
05-10
蓝队工具 各种脚本和工具的集合,这些脚本和工具适用于所有免费和/或开放源代码的OS,可在主动威胁下协助不适当的蓝队防御。 直接进入第一步
强网杯2021 qwb misc WP 5题
mumuzi的博客
06-16 2733
BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime 本来是说昨天发的,忘了…… 然后取证题,比较偏向爆破出的flag;如果是想知道原理等可以去看看空白师傅的WP:https://mp.weixin.qq.com/s/ItaIgLxcXCjvAhyyP3On9Q BlueTeaming 下载解压,得到一个无后缀,winhex查看是7z文件头,添加.7z,解压 得到一个5个G的memory.dmp文件 是一个内存镜像,常见的内存镜像文件有raw、vmem、dmp
[L3H_SEC2019秋季招新题 MISC] Blue
I Hsien's BLOG
10-16 403
下载得到压缩包,解压后有一个加密的压缩包和hint. hint提示用S盒加密了压缩包. Sbox='b865e3207da419cf' 编写脚本解密,代码如下: import binascii if __name__=="__main__": with open("./blue.zip","rb") as f: cipher=f.read() sbox="b865...
【愚公系列】2021年11月 攻防世界-进阶题-MISC-050(misc1)
热门推荐
时光隧道
11-29 3万+
文章目录一、misc1二、答题步骤1.偏移128总结 一、misc1 题目链接:https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=1&page=3 二、答题步骤 1.偏移128 每两个分组十六进制,转成十进制后-128(偏移量为128) 再转成ascii码得到flag:DDCTF{9af3c9d377b61d269b11337f330c935f} python脚本 import re s = 'd
2020 第四届强网杯 线上赛Misc_Writeup
末初的CSDN博客
11-07 2497
目录upload签到问卷调查miscstudy upload 下载附件,打开是流量包文件,wireshark打开 查看http的包,追踪一下 很明显是POST上传的图片 File->Export Object->HTTP...将文件Save all保存出来,得到如下: %5c有提示steghide隐藏 steghide.php用notepad++打开 去掉前面这四行,保存修改后缀为jpg或者png都行,得到如下图: 然后把照片丢进kali使用steghide工具提取隐藏信息 有
强网杯2021 CipherMan (内存取证分析)
半岛铁盒的博客
06-18 816
使用工具volatility。首先查看镜像的系统信息,得到版本 下载压缩包,打开后得到memory和Secret两个文件,用volatility扫描memory文件可以看到一个BitLocker密钥文件 将这个文件导出
2021强网杯 LongTimeAgo
VRMEI的博客
06-20 753
我们这题被锤了,理由是与摘星实验室wp重合度高 重合度有多高我不知道,但是我们所有人都压根没听说过这个实验室 所以我这里放一个更加细致的wp,不想让几十个小时的努力
强网杯wp
Sentiment的博客
07-22 1010
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 强网杯wp PWN PWN no_output 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
强网杯 2021 no_output
九层台
06-16 3174
强网杯 2021 no_output 没有输出,包含栈溢出。进行两次校验,前两次输入直接用angr模板获取。但是angr不能直接探索到触发信号之后(可能是咱不懂) import angr import sys import binascii def main(argv): path_to_binary = "./test" # :string project = angr.Project(path_to_binary)#要分析的二进制文件 # 告诉ange从哪里开始执行entr
2021强网杯Writeup--by Nu1L Team.pdf
06-15
"2021强网杯Writeup--by Nu1L Team.pdf" 是一份关于第五届“强网杯”全国网络安全挑战赛的赛后分析报告,由Nu1L团队编写。报告涵盖了多个网络安全领域的挑战,包括CTF(Capture The Flag)竞赛、网络安全和信息安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值