高校抗役Writeup-MISC

最新推荐文章于 2021-05-26 22:35:29 发布
最新推荐文章于 2021-05-26 22:35:29 发布
阅读量216 收藏
点赞数
分类专栏: CTF WriteUp 文章标签: linux 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/104729799
版权
本文详细介绍了在一次网络安全挑战赛中,如何通过对流量包的Wireshark分析以及使用Volatility工具进行内存取证来解决谜题。在流量包中找到并解压了data.zip,接着在内存dump文件data.vmem中通过Volatility进行操作系统类型识别、进程检查、命令历史记录搜索和文件扫描。最后,从提取的文件中解密出含有关键信息的WAV文件,并通过解析DTMF信号获取到最终的flag。
摘要由CSDN通过智能技术生成

目录

ez_mem&usb

本题考察流量包分析以及内存取证

流量包分析

解压,发现是个流量包,扔进wireshark里,先把HTTP文件倒出来看看
在这里插入图片描述
在upload_file.php中发现上传了一个文件
在这里插入图片描述

除去文件头和文件尾,保存为data.zip
在这里插入图片描述
在这里插入图片描述
解压,得到一个data.vmem

内存取证

我们使用kali linux 中的volatility来进行内存取证

  1. 首先判断操作系统类型

volatility imageinfo -f data.vmem

在这里插入图片描述
2. 查看进程

volatility -f data.vmem --profile=WinXPSP2x86 pslist

在这里插入图片描述

  1. 提取命令历史记录

volatility -f data.vmem --profile=WinXPSP2x86 cmdscan

在这里插入图片描述

  1. . 通过cmdline查看命令行用到的参数,不过似乎没有什么重要信息

volatility -f data.vmem --profile=WinXPSP2x86 cmdline

在这里插入图片描述

  1. 查看文件目录,看看有没有flag文件

volatility -f data.vmem --profile=WinXPSP2x86 filescan | grep flag

在这里插入图片描述

  1. 导出文件

volatility -f data.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x1155f90 --dump-dir=./

在这里插入图片描述

直接用binwalk和foremost提取出文件
在这里插入图片描述
提取出一个加密的压缩包,回想起之前查看命令行记录看见的信息,故压缩包密码为 weak_auth_top100
在这里插入图片描述
解压之后发现如下文件
在这里插入图片描述

根据文件名usbdata,怀疑是抓到的键盘传输的数据包,使用以下脚本获得flag


hids_codes = {"0x04":"a","0x05":"b","0x06":"c","0x07":"d","0x08":"e","0x09":"f","0x0A":"g","0x0B":"h","0x0C":"i","0x0D":"j","0x0E":"k","0x0F":"l","0x10":"m","0x11":"n","0x12":"o","0x13":"p","0x14":"q","0x15":"r","0x16":"s","0x17":"t","0x18":"u","0x19":"v","0x1A":"w","0x1B":"x","0x1C":"y","0x1D":"z","0x1E":"1","0x1F":"2","0x20":"3","0x21":"4","0x22":"5","0x23":"6","0x24":"7","0x25":"8","0x26":"9","0x27":"0","0x36":",","0x33":":","0x28":"\n","0x2C":" ","0x2D":"_","0x2E":"=","0x2F":"{","0x30":"}"}


flag = ''

file = open('/root/ctf/misc/usbdata.txt','r') 
for line in file.readlines():
    conv = '0x' + line.split(':')[2].upper()
    if conv in hids_codes:
        if line[0:2] == '00':
            flag += hids_codes[conv]
        else:
            flag += hids_codes[conv].upper()


print(flag)

隐藏的信息

使用AU打开WAV文件(这里的压缩包用了伪加密,使用360压缩可以直接解压)
发现了开头和结尾有声音,开头听不出来,结尾可以听出是电话的按键声(DTMF)
在这里插入图片描述
把音乐开头和结尾的DTMF信号提取出来
在这里插入图片描述
根据下面的表对比得到12个数字:187485618521
在这里插入图片描述
在二维码中发现提示:
在这里插入图片描述
在这里插入图片描述
把得到的数字用base64加密得到flag:MTg3NDg1NjE4NTIx

L.o.W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存取证&USB流量分析 —— 【高校战“疫”】ez_mem&usb
Ve99tr’s Blog
03-09 1371
高校战“疫” MISC内存取证以及usb流量分析 —— ez_men&usb
RoarCTF2019部分Writeup
Sea_Sand息禅
11-29 807
Easy Calc 页面源码线索中得到calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
抗疫代码入国家博物馆, 程序员的巅峰时刻!
程序员生活志的博客
09-09 577
近期,国家博物馆公布了一批抗击新冠疫情实物收藏名单。 阿里云研发的健康码系统第一行代码、引擎第一行代码、阿里巴巴达摩院研发的新冠肺炎CT影像AI辅助诊断产品第一行代码以及制作人员签名一起被国家博物馆收藏。 8月31日,中国国家博物馆向阿里巴巴集团、蚂蚁集团,阿里巴巴公益基金会和马云公益基金会颁发“援助抗击新冠疫情实物捐赠证书”。 国家博物馆是中华文物收藏量最丰富的博物馆之一,整体规模在世界博物馆中位居前列。 在大众的认知中,国家博物馆收藏的物品应该是石器、玉器、文献...
CTF-安恒19年一月月赛部分writeup
weixin_34117211的博客
01-27 1713
CTF-安恒19年一月月赛部分writeup MISC1-赢战2019 是一道图片隐写题 linux下可以正常打开图片,首先到binwalk分析一下。 里面有东西,foremost分离一下 有一张二维码,扫一下看看 好吧 不是flag,继续分析图片,在winhex没有发现异常,那么上神器StegSolve分析一下 第一次翻了一遍图层没发现,眼瞎第二次才看见 ...
2020湖湘杯MISC全解-writeup
BlusKing
11-02 4579
MISC1 导出index-demo.html,查看代码发现隐藏了一长串base64 使用base64隐写进行解密 key:"lorrie" 得到key说明可能存在某种隐写,是snow隐写,但用网页版的snow隐写解出来是一串乱码,于是尝试使用本地版的SNOW.EXE SNOW.EXE -p lorrie index-demo.html flag{→_→←_←←_←←_←←_← →_→→_→←_←←_←←_← →_→←_←←_←←_← ←_←←_←←_←→_→→...
writeup-开源
05-13
用于将源文档转换为HTML或XML的编程语言。 Writeup是标记语言(类似于markdown)和宏预处理语言的组合,该宏语言可以为文档建立正式的生产系统。
网鼎杯writeup-护网先锋1
08-04
【网鼎杯writeup-护网先锋1】的知识点总结: 在网络安全竞赛“网鼎杯”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
writeUp-CTF
03-16
writeUp-CTF
writeup-frontend:用AI击败作家的街区
04-29
开始git clone git@github.com:jeffshek/writeup-frontend.gitcd writeup-frontendyarn installyarn start设计灵感来自设计灵感和代码代码质量这写得很快,所以我对我在回购中使用的一些反模式并不感到骄傲。...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
寒假第一周CTFwp
苟有恒,必有三更眠,五更起。
03-05 430
1. 文件上传测试1 不用想也知道直接上传php文件,是不行的。果然返回非图片文件。 抓包看一下,Content-Type为application/octet-stream,将其改为image/gif,放包。 上传成功后返回flag。 2. 文件上传测试2 直接上传php,抓包改参数,上传报错。 于是想到上传检验的另一种方法,怀疑采用文件头检验的方式。于是将p...
内存取证——volatility
热门推荐
苟有恒,必有三更眠,五更起。
11-04 1万+
内存取证——volatility0x00最近没有做题,之前放掉的一个杂项题,现在重新看看。0x01通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。0x02内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)这里主要使用工具——volatility.0x03工具介绍:volatilityvolatility是一款开源的...
Bugkuctf ——流量分析 write up(持续更新中)
welcome.php
01-07 2127
流量包分析 CTF 比赛中, 流量包的取证分析是另一项重要的考察方向,有时候电子取证也会涉及到这方面的知识。 通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。 PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。 铁人三项的话是查找ip 服务器 还原入侵过...
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
高校战“疫”网络安全分享赛-MISC-隐藏的信息
qq_43390703的博客
03-11 1051
此次攻防世界上的高校战“疫”网络安全分享赛有幸分享了一道题目。水平还很菜但是这次经历也对我自我激励也起到了很好的作用。本来想出一道pwn题的但是进了出题群后,乖乖面向大佬自闭,修改题目。。QAQ。 题目说明 Misc-隐藏的信息 WP 首先解压文件,发现一个二维码和一个加密的压缩包。 一般CTF比赛中都可以通过图片获得压缩包的密码,但是这其实是一个伪加密压缩包。 使用010editor修改文件标...
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 469
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
利用Volatility进行Windows内存取证分析(一):初体验
Fly_鹏程万里
05-16 9105
简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...
第二届安洵杯2019部分writeup
Sea_Sand息禅
12-01 6065
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
Jarvis OJ BASIC部分题目writeup
fr4granc3
01-20 1268
base64? GUYDIMZVGQ2DMN3CGRQTONJXGM3TINLGG42DGMZXGM3TINLGGY4DGNBXGYZTGNLGGY3DGNBWMU3WI=== base64后面最多可能出现两个=号,只有base32可能出现3个等号 使用base32解码,得到504354467b4a7573745f743373745f683476335f66346e7d 猜测是hex编码的字符串,...
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值