✿WMCTF2021✿Flag Thief WP 及以后可能会碰到的取证知识点

最新推荐文章于 2024-04-15 00:44:56 发布
最新推荐文章于 2024-04-15 00:44:56 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: misc CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010418732/article/details/120009187
版权
CTF 同时被 2 个专栏收录
34 篇文章 6 订阅
订阅专栏
misc
19 篇文章 1 订阅
订阅专栏

目录

Flag Thief WP

用DG,FTK,取证大师均可挂载该附件
这里DG无法直接挂载(需要e01转dd),这里用取证大师进行讲解
根据Hint:曾远程过其他电脑,可以判断磁盘中有远程的相关痕迹
常见的远程痕迹有:
1.经典的default.rdp文件
2.注册表搜索Terminal Server Client
3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%userprofile%\AppData\Local\Microsoft\Terminal Server Client\Cache**。
4.Credentials 位置:%userprofile%\AppData\Local\Microsoft\Credentials**

这里其实可以找到3,4,4对应的是windows Live,后面取证知识点介绍
根据3很容易在文件中发现该位置有BMC缓存文件
在这里插入图片描述
可以将相关文件导出一份,用BMC-tools文件导出1w+图片,往下翻可以看到一段内容,简单脑内拼图
在这里插入图片描述
可以大概得到以下内容
VeraCrypt
5eCuri7yPaSsW0rd@__WMCTF
取证大师在刚刚导入文件时候提示了有多个加密文件
在这里插入图片描述
导出 5ebe2294ecd0e0f08eab7690d2a6ee69 文件用VeraCrypt解密
得到一个虚拟磁盘文件
在这里插入图片描述
这里很明显是一个nox(安卓模拟器)的一个磁盘文件,因为我的电脑装了wsl无法使用安卓模拟器,这里使用DG来做以下步骤
先来一个文件恢复,看看能不能找到什么奇怪的文件
在这里插入图片描述
在恢复的文件类型里,有图片
在这里插入图片描述
很明显,flag藏在通讯录
在这里插入图片描述
根据安卓的特性直接从/data/com.android.providers.contacts/databases/导出通讯录数据库
在这里插入图片描述
使用sqliteStudio 导出相关数据库 在data下面可以看到通讯录,这里是aes加密,密码为锁屏密码
在这里插入图片描述
解密过程去看下沐沐子博客我这里没干出来,干出来再补
https://blog.csdn.net/qq_42880719/article/details/120000111?spm=1001.2014.3001.5501
得到密码是:183492765
aes解密后得到flag
在这里插入图片描述
wmctf{dc4fc81e0aedc4692a7e312ce503e3ef}

考点延展and可能以后会遇到的取证知识点

1)检查被禁用的用户

上面提到的Credentials
文件位置user\appdata\Local\Microsoft\Credentials
在这里插入图片描述
这里使用Mimikatz与masterkey进行解密
管理员运行Mimikatz

#提权
privilege::debug

#获取masterkey 
sekurlsa::dpapi

根据GUID来判断对应的masterkey

#解密Credentials
dpapi::cred /in:C:\Users\{username}\appdata\local\microsoft\credentials\{Credentials value} /masterkey:{masterkey}"

这里windows11好像有bug,读不出masterkey就没图了,以后再说
2.仿真之后发现的几个知识点
仿真使用FTK,加载磁盘文件为驱动器
在这里插入图片描述
然后创建虚拟机(除下面几项,其他均默认)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里选择刚刚创建的逻辑磁盘
在这里插入图片描述
成功启动
在这里插入图片描述
下面是可能会藏flag的几个地方

计算机管理-本地用户-用户
在这里插入图片描述
这里administrator被禁用了
上面的administrater是隶属于administrator的家庭组成员
所以当administrator被禁用时在登录界面看不到administrater
这里启用administrator,再次注销系统,发现有上有密码
在这里插入图片描述
随便输入一个密码之后会提示重置密码,这里就可以藏flag
在这里插入图片描述
我们不用登录进去,还是切回之前的用户
登录密码我们可以使用mimikataz来获取

#首先提权
privilege::debug
#列出计算机内所有用户的hash
lsadump::lsa /patch

在这里插入图片描述
使用cmd5解密这段NTLM 可以得到密码为admin123

2)安全问题

密码安全问题,找了许多地方有一个成品软件可以直接查看
下载地址
在这里插入图片描述
这里answer三处位置可藏内容
附上挺垃圾的远程痕迹检测

#coding:utf-8
import os
print("检测Credentials")
os.system("dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*")
print("检测BMC缓存")
a="\"Terminal Server Client\""
os.system("dir %userprofile%\AppData\Local\Microsoft\{0}\Cache\*".format(a))
print("检测default.rdp")
os.system("dir /a %userprofile%\Documents\*")
print("检测注册表")
b="Terminal Server Client"
REG="\"HKEY_CURRENT_USER\Software\Microsoft\{0}\Servers\"".format(b)
os.system("reg query {0}".format(REG))
Tokeii
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
WMCTF2021 WP misc
mumuzi的博客
08-31 1773
唉因为太菜本来不想写的(其实是因为都只能做一半导致太水了不好写) 复现了一下取证还是写一下吧 Checkin ctrl+c ctrl+v enter 你画我猜 画!都可以画! WMCTF{x1aoma0_wants_a_girlfriend} 我画你猜 猜!都可以猜! WMCTF{L1near_has_double_girlfriends} LOGO LOGO!都可以LOGO! 首先nc上去,看到WM标志 为了要把图给画下来,当然是重定向啦 nc 118.190.157.196 100
WMCTF 2021 pwn Azly复现
qq_39948058的博客
09-01 616
WMCTF 2021 pwn Azly复现 前言:这次比赛好难,就复现两道pwn题吧,剩下的是真不,因为之前都没遇到过,只能以后慢慢的学,比赛中还有区块链的题,关于区块链的题复现下次提交,这次先复现两道关于pwn的题吧,题除了musl pwn题第一题还算常规 red_high_heels 漏洞分析: 本题开启了花指令,所以先去除花指令,重组逻辑,就可以很快的发现漏洞,当时比赛的时候不去除花指令,只是瞎翻翻,结果发现看到一个多线程,就感觉这道题是考察条件竞争的题,但是这题出的有个缺陷就是,在主
内网渗透-Windows RDP凭证的抓取和密码破解测试的方法
lza20001103的博客
04-15 957
内网渗透-Windows RDP凭证的抓取和密码破解测试的方法
wmctf2021 Flag Thief && 祥云杯 层层取证 && 陇剑杯 wifi && 羊城杯 辣鸡取证
weixin_45805993的博客
09-18 742
0x00我是菜鸡 这题算是做过的取证题里很复杂的了,拿出来复现一下 大部分内容参考了套神的博客,先贴在上面 https://blog.csdn.net/qq_42880719/article/details/120000111 0x01题解 因为没有取证大师,我这里先选择了用FTK挂载镜像 Hint:曾远程过其他电脑 从大神的博客学到这里大概有几种思路 1.default.rdp文件 2.注册表搜索Terminal Server Client 3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%
WMCTF 2021 pwn dy_maze writeup
Zheng__Huang的博客
08-31 1255
  经过三天的奋战(摸鱼划水√),WMCTF 2021 终于结束,我们的萌新体验队在大家的共同努力下也拿到了前30的成绩,实在出乎我的预料。不过,对于我们的首次比赛而言,成绩是最次要的方面,队友们在比赛中表现出的认真和专注、对CTF的兴趣和热爱才是最最珍贵的东西,只有兴趣,才能推动我们不断训练进取,在水平上拥有长足的进步。   这次比赛中,除了少量签到、娱乐题外,pwn方向上我只做出了一道dy_maze,原因还是技术不够,堆溢出没有学。这道题也与一般的栈溢出不同,在前面加上了自动化分析的内容,确实长了见识.
CTF必备取证神器(volatility、PTF、取证大师、Magnet AXIOM)
热门推荐
Love&Share
10-22 3万+
CTF比赛中好的工具往往能让解题变得顺利,在取证题中更是如此,神器让flag无处可藏 接下来分别介绍几个取证工具安装和使用 volatility PTF 取证大师 Magnet AXIOM volatility Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态 vol 存在多个版本 exe封装版 python2版 https://github.com/volatilityfoundation/volatil
thief-4.0.0-win64
11-10
以下是根据提供的文件名解析出的一些相关知识点: 1. **v8_context_snapshot.bin** 和 **snapshot_blob.bin**:这两个文件与Google Chrome浏览器的V8 JavaScript引擎有关。V8是Chrome用以解释和执行JavaScript代码...
thief-book-idea.jar
08-06
thief idea版插件jar包
e-zero:管理e01文件。 收集,重复和验证后合并
05-01
电子零 管理e01文件。 收集后合并,重复并验证。
color-thief-php提取图片色值分布及百分占比-附件资源
03-05
color-thief-php提取图片色值分布及百分占比-附件资源
[影音娱乐]VcanFly Mp3 Thief v1.0_vcanfly_mp3_thief.rar
最新发布
04-21
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、...【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
color-thief.js
01-30
color-thief.js,用于JS代码实现获取图片主色调,可以使用js获取到页面图片的主色调
取证导论 & Volatility入门使用——ctf公开课笔记记录
m0_75196987的博客
04-16 779
取证导论 & Volatility入门使用。——来自 长空网络实验室。不建议广泛传播。
CTF-数字取证合集
admin的博客
11-27 7027
本题来自moectf的easyForensics。 下面是题目链接: https://masternoah.lanzoui.com/iFXVfsy5o3e 一、首先下载软件X-ways Forensics 我们可以了解一下e01文件的文件类型。参照下面这篇文章。一句话来讲就是e01就是一个计算机某一时刻全部操作的证据文件。 封装E01文件格式说明 — 磁盘映像取证 (forensicsware.com) 二、打开文件 文件打开后是这个样子: 然后点击这个按钮,就可...
Windows BMChache取证
ShenZ的博客
08-09 319
BMChache取证 link 0x1 简介 BMChache全称RDP Bitmap Chache,即RDP(远程桌面协议)位图缓存。是Windows为了加速RDP连接时的显示,减少数据量的传输,改善RDP连接体验的一种缓存机制。 BMChache分为两种类型,一种是Bitmap Chaces(位图缓存),一种是Persisten Bitmap Chaches(持久位图缓存)。Persistent Bitmap Chaches是从Windows 2000的RDP 5.0版本开始引入的技术。 0x2 存储
vscode插件 thief-book如何使用
06-08
Thief-Book 是一个用于保存网页内容的 VSCode 插件。使用 Thief-Book 插件可以将浏览器中的网页保存为 Markdown 格式的文档,并且可以进行分类管理。下面是使用 Thief-Book 插件的步骤: 1. 安装 Thief-Book 插件,可以在 VSCode 的插件市场中搜索并安装。 2. 在浏览器中打开要保存的网页,然后点击右键,在弹出的菜单中选择“复制链接地址”。 3. 在 VSCode 中打开 Thief-Book 插件,点击“新建文章”按钮,在弹出的对话框中粘贴刚才复制的链接地址。 4. 点击“确定”按钮,Thief-Book 自动将网页内容保存为 Markdown 格式的文档,并且可以对文档进行分类管理。 5. 可以在 VSCode 中打开保存的文档,进行编辑和阅读。 注意:Thief-Book 插件目前只支持 Chrome 浏览器,其他浏览器暂不支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值