✿第一届陇剑杯✿内存取证1WP以及2部分思路

最新推荐文章于 2024-05-06 16:49:13 发布
最新推荐文章于 2024-05-06 16:49:13 发布
阅读量1.8k 收藏 11
点赞数 2
分类专栏: CTF misc 文章标签: windows python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010418732/article/details/120295826
版权
CTF 同时被 2 个专栏收录
34 篇文章 6 订阅
订阅专栏
misc
19 篇文章 1 订阅
订阅专栏

内存取证1

因为题目要求求密码,所以直接使用Passware Kit Forensic 2021 内存分析功能进行一把梭
请添加图片描述
第二问提示有手机备份文件
使用各类取证工具,甚至使用foremost可以轻易地知道型号为HUAWEI
使用volatility来分离相关文件
因为我试用的是windows下的,所以用到的是find命令

vol -f Target.vmem --profile=Win7SP1x64 filescan|find "HUAWEI"

在这里插入图片描述
直接提取第一个即可

vol -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D .

在这里插入图片描述
到根目录下面,找到file.None.0xfffffa80037e0af0.dat修改后缀名为exe
发现是一个自解压文件,得到HUAWEI P40_2021-aa-bb xx.yy.zz
下面的步骤就是解密这个备份文件使用到一个github上面的轮子kobackupdec
windows下使用有些小问题,这里在kali使用
根据tips里面提示将空格换为_
构造一下命令(1为上面的HUAWEI P40_2021-aa-bb xx.yy.zz文件夹)

python3 kobackupdec.py -vvv "W31C0M3_T0_THiS_34SY_F0R3NSiCX" 1 2

得到解密后的文件
在这里插入图片描述

内存取证2

实在没做出来
通过查阅资料可以大概确定Encryption.bin02文件为加密后加密过的vmx文件
在这里插入图片描述
通过查阅相关资料,使用里面可以读取的相关内容,构造了一个可能正常的vmx文件
在这里插入图片描述
使用轮子pyvmx-cracker.py进行解密,得到密码为1q2w3e4r
在这里插入图片描述
在这里插入图片描述
后面就不会了…

Tokeii
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
ShenZ的博客
11-24 4948
内存取证 附件:mem_sec.vmem 1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述问题。请根据u盘里的mem_sec.zip文件进行分析取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写) 2.经过入侵分析发现该主机的使用人员曾经访问过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/) 1https://mail.td?
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
2023陇剑杯-流量分析篇(全)-wp详细
最新发布
jklove9的博客
05-06 1146
Q1:服务器自带的后门文件是什么?查看第一个POST请求,发现关键点(备注:file_put_contents内置函数,用于将字符串写入文件)然后通过一句话木马文件d00r.php执行whoami,ls等一系列系统命令。因此服务器自带的后门文件是Q2:服务器的内网IP是什么?如下所示:第22251个流,追踪http数据流,查看ipconfig的回显,发现内网ip地址为:192.168.101.132Q3:攻击者往服务器中写入的key是什么?
CTF-陇剑杯内存分析-虚拟机内存取证1
08-03
易于扩展:通过插件来扩展 Volatility 的分析能安装分为三步:下载安装必要的 python 依赖件安装本体你可以在 Release 中找到对应你系统(M
2021陇剑杯网络安全大赛wp-内存取证(详细题解)
偷一个月亮
09-15 2287
6.1 使用volatility对内存进行分析,配合mimikatz插件跑密码 6.2 根据提示,使用filescan命令在内存中查找文件,发现华为备份文件 HUAWEI P40_2021xxxxxx,搜索后发现多个相关文件,最后发现HUAWEI P40_2021-aa-bb xx.yy.zz.exe 为一自解压文件,解压后即为备份 找到解密工具kobackupdec,根据上一步提示,根据提示将空格替换为_,解密成功 ...
OtterCTF内存取证wp
m0_66638011的博客
05-09 4102
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
[陇剑杯 2021]内存分析
J_linnb的博客
04-29 585
解压完成后发现多了一个HUAWEI P40_2021-aa-bb xx.yy.zz文件夹,并且在里面发现一个images0.tar.enc文件,此文件为华为加密文件,我们需要在网上下载解密脚本,解压密码题目中已经提示为上一题的flag,也就是。本题的格式也是flag{xxx},含有空格,提交时不要去掉)(密码中为flag{xxxx},含有空格,提交时不要去掉)虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为(,注意,运行脚本时密码的空格要改为'_'也就是。提取结束后会发现有两个文件。
第二届陇剑杯sevrer save取证
09-07
pass:c77ad47ba4c85fae66f08ec12e0085dd ...格式:文件 1,文件 2 sevrer save_7 题目内容:矿池地址是什么?格式:domain:1234 sevrer save_8 题目内容:黑客的钱包地址是多少?格式:xx:xxxxxxxx
陇剑杯2023-Incidentresponse2-取证
09-08
IR总共三个文件,这是其中一个,需要下载三个文件才能解压 题目内容:你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位...
陇剑杯2023-Incidentresponse1-取证
09-08
IR总共三个文件,这是其中一个,需要下载三个文件才能解压 题目内容:你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位...
陇剑杯2023-Incidentresponse3-取证
09-08
IR总共三个文件,这是其中一个,需要下载三个文件才能解压 题目内容:你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位...
[ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
ShenZ的博客
07-20 5023
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
2021陇剑杯网络安全大赛-内存分析
qq_43264813的博客
09-14 2118
2021陇剑杯网络安全大赛-内存分析 题目描述: 网管小王制作了一个虚拟机文件,让您来分析后作答: 解题思路: 6.1虚拟机的密码是_flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}_。(密码中为flag{xxxx},含有空格,提交时不要去掉) vol.py -f Target.vmem --profile=Win7SP1x64 hivelist vol.py -f Target.vmem --profile=Win7SP1x64 hashdump -y 0xfffff8a0000
陇剑杯部分wp(参赛总结与反思)
cuddlylm的博客
10-17 585
1.签到 网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问) 此时正在进行的可能是___http___协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp) 看请求包,协议为http,版本为1.1 2.jwt 昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答: 这题要先了解什么是jwt JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JS
2021 [线下]陇剑杯 wp
qq_45603443的博客
09-29 7388
2021 [线下]陇剑杯 wp前言1.11.21.31.41.53.13.34.14.25.15.2Tip 前言 wp由EDI yanshu师傅投稿 ,感谢yanshu师傅。 部分题目为赛后复现。 部分题目复现方法由一些师傅提供解题思路,感谢。 题目附件获取方法在文章末尾。 1.1 导出对象 发现 6.html 中有颜文字 解开后 alert(“EBA01E64-416C-419E-9C9A-C807AD9741D2”); 1.2 全局搜X-Forwarded-For,会发现它ip是五位的,答案
2021年“陇剑杯部分WP
mwmbfh的博客
09-15 1902
2021年"陇剑杯"部分WP一、 战队信息二、 解题情况三、 解题过程题目3.1题目3.1操作内容题目3.1flag值题目7.1题目7.1操作内容题目7.1flag值题目8.1题目8.1操作内容题目8.1flag值题目8.2题目8.2操作内容题目8.2flag值题目8.3题目8.3操作内容题目8.2flag值 一、 战队信息 战队名称:fuller 二、 解题情况 三、 解题过程 题目3.1 题目3.1操作内容 使用wireshark打开题目文件,使用筛选条件,选择发送的数据。 Ø
2023第二届陇剑杯wp(ak)
Ahi0upsec的博客
08-28 2721
ak数据分析部分wp。
2023陇剑杯
qq_64201116的博客
09-18 1119
​首先判断哪个是服务器地址​从响应包看,给客户端返回数据包的就是服务器所以确定服务器地址是​再从开放端口来看,长期开放的端口​所以就是80、888、8888。
陇剑杯writeup
07-28
根据提供的引用内容,我了解到以下信息: - 引用\[1\]提到了关于虚拟机内存文件(vmem)和解析工具vol3的内容。 - 引用\[2\]提到了嫌疑人下载过无影无踪扫描文件,并导出了ntfs元文件和使用了内存镜像进行分析的命令。 - 引用\[3\]提到了一次内存分析的情况,并给出了内存主机的产品密钥。 然而,你的问题是关于"陇剑杯writeup",但是在提供的引用内容中并没有提到这个问题的相关信息。请提供更多的上下文或明确你的问题,以便我能够为你提供更准确的答案。 #### 引用[.reference_title] - *1* *2* *3* [[2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup](https://blog.csdn.net/weixin_46081055/article/details/120527685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值