第二界陇剑杯赛-MISC

于 2024-09-16 19:34:04 发布
阅读量765 收藏 8
点赞数 13
分类专栏: Misc 杂项 文章标签: 网络安全 系统安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626085/article/details/142305968
版权

1 题目名称:hard_web-1

题目内容:1.服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了80 81 82 83端口,则答案为80,81,82,83)
题目分值:100.0
题目难度:容易
相关附件:hard_web-1.zip下载
https://blog.csdn.net/qq_38626043/article/details/132703167
tcp.flags.syn==1 and ip.dst == 192.168.162.188
https://www.cnblogs.com/WXjzc/p/17674469.html
统计会话,60字节的为连接失败

2 题目名称:hard_web-2

题目内容:2.服务器中根目录下的flag值是多少?
题目分值:100.0
题目难度:容易
相关附件:hard_web-2.zip下载
https://blog.csdn.net/qq_38626043/article/details/132703167

b5c1fadbb7e28da08572486d8e6933a84c5144463f178b352c5bda71cff4e8ffe919f0f115a528ebfc4a79b03aea0e31cb22d460ada998c7657d4d0f1be71ffa

https://www.cnblogs.com/WXjzc/p/17674469.html
分析流量包,找到shell.jsp中的java代码
很明显的哥斯拉jspshell,可以自己生成一个对比看看
传输内容aes加密,密钥为748007e861908c03,gzip压缩,解密即可

3 题目名称:hard_web-3

题目内容:3.该webshell的连接密码是多少?
题目分值:100.0
题目难度:容易
相关附件:hard_web-3.zip下载

慢慢找请求和返回包,可以找到密码组成1***y
哥斯拉加密流量中的key是密码的md5值的前16位或后16位,暴力跑

import requests
import hashlib
dic = "abcdefghijklmnopqrstuvwxyz0123456789"
for i in dic:
    for j in dic:
        for k in dic:
            for l in dic:
                s='1'+i+j+k+l+'y'
                md5=hashlib.md5(s.encode('utf-8')).hexdigest()
                if '748007e861908c03' in md5[:16]:
                    print(s)
                    print(md5)
                    break

4 题目名称:baby_forensics-1

题目内容:1.磁盘中的key是多少?

题目附件: 链接:https://pan.baidu.com/s/1nXi3MgoxYfIUZTgxiqlwHg 提取码:b5ld
题目分值:100.0
题目难度:容易
https://zhuanlan.zhihu.com/p/692447949
https://blog.51cto.com/u_16213568/7848056

在这里插入图片描述

在这里插入图片描述

                                                                                  
                                                                                  ┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility_2.6_lin64_standalone]
└─$ ./volatility -f baby_forensics.raw --profile=Win7SP1x64 filescan | grep -iE "flag|.zip$|.rar$|.7z$|.txt$|.png$|.jpg$|.gif$|.pdf$|.doc$|.docx$|.pcap$|.pcapng$|.raw$|.kdbx$|Desktop\\\{1}.+"
Volatility Foundation Volatility Framework 2.6
0x000000003dc63430      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12cKyy[1].png
0x000000003dc8e360      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\AANus0L[1].jpg
0x000000003dc978f0      1      1 -W-rw- \Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\FXSAPIDebugLogFile.txt
0x000000003dcb3530      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BBZQoYU[1].png
0x000000003dcb3a20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\AAQYJoh[1].png
0x000000003ddbbce0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB196zoa[1].jpg
0x000000003ddea4d0      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\Low\admin@cn.bing[1].txt
0x000000003df02340      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12cP2X[1].png
0x000000003df06320      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\BB1409dH[1].png
0x000000003df80070      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\vmware-admin\VMwareDnD\abafa01a\key.txt
0x000000003df94070     16      0 RW---- \Device\HarddiskVolume3\key.txt
0x000000003dff69d0      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\Low\admin@msn[2].txt
0x000000003e041f20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12dVk6[1].png
0x000000003e293580      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\Low\admin@www.bing[1].txt
0x000000003e296540     11      0 R--r-d \Device\HarddiskVolume2\Users\admin\Desktop\DumpIt.exe
0x000000003e2994e0      1      0 R--rwd \Device\HarddiskVolume2\Users\Public\Desktop\desktop.ini
0x000000003e2a02c0      1      0 R--rwd \Device\HarddiskVolume2\Users\admin\Desktop\desktop.ini
0x000000003e3da2a0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\jl9Nzz9dk-DuvjS8ch8tEboJITE[1].png
0x000000003e510130     18      1 RW-r-- \Device\HarddiskVolume2\Windows\Tasks\SCHEDLGU.TXT
0x000000003e5edcc0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\BB12cMS3[1].png
0x000000003e739a90      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\AAMiLWy[1].png
0x000000003ee04780      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB1aWEfS[1].png
0x000000003ee075f0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB12cNex[1].png
0x000000003ee0c4f0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\BBiwNf[1].png
0x000000003ee0e6a0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12cRlt[1].png
0x000000003ee233c0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB12bwQ4[1].png
0x000000003ee23610      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\AASpq9W[1].jpg
0x000000003ee363e0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\AAQYCDv[1].png
0x000000003ee43070      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB12cAZz[1].png
0x000000003ee4c5f0      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\Low\admin@bing[2].txt
0x000000003ee536b0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\AASZJoi[2].jpg
0x000000003ee5d5c0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\eb-c31c9a-3cb8f63e[1].txt
0x000000003ee69c80      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB12cfTd[2].png
0x000000003ee6dae0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\eRSssgJNCIKK78RNaStBR_weVTc[1].png
0x000000003ee6ddc0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\vFftxgKPLFTSzmZyG8R-jj68tBQ[1].png
0x000000003ee75680      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\BB1aCdhW[2].png
0x000000003eea3c50      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\ar_9isCNU2Q-VG1yEDDHnx8HAFQ[1].png
0x000000003eec28e0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB18EBbp[2].png
0x000000003eecfd10      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\AARDHLP[2].png
0x000000003eee6340      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\AAViPvT[1].jpg
0x000000003eeeaf20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12cBeO[1].png
0x000000003eefa860      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\AAQYQMg[1].png
0x000000003ef0c200      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB1aWuV2[1].jpg
0x000000003ef1af20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12cTXD[1].png
0x000000003ef24f20      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@ieonline.microsoft[1].txt
0x000000003ef259a0      1      1 RW-rw- \Device\HarddiskVolume2\Users\admin\Desktop\ADMIN-PC-20220529-121413.raw
0x000000003ef27de0      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@microsoft[1].txt
0x000000003ef295c0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\kfOlUlZWFmmvOElW-pmNhjCSNfI[1].png
0x000000003ef50dd0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB12cRUu[1].png
0x000000003efcb200      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB1aWuV2[1].jpg
0x000000003efd9f20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12cTXD[1].png
0x000000003efe3f20      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@ieonline.microsoft[1].txt
0x000000003efe49a0      1      1 RW-rw- \Device\HarddiskVolume2\Users\admin\Desktop\ADMIN-PC-20220529-121413.raw
0x000000003efe6de0      2      0 -W---- \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@microsoft[1].txt
0x000000003efe85c0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\kfOlUlZWFmmvOElW-pmNhjCSNfI[1].png
0x000000003f172070      4      0 R--rwd \Device\HarddiskVolume2\Users\admin\Desktop\DumpIt.exe
0x000000003f176070      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\AAMiWZU[1].jpg
0x000000003f1a7ab0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12bBrq[1].png
0x000000003f1b0700      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\JJKnDArbyLYG6f98enb1Hx-Uzps[1].png
0x000000003f1b9710      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\3YUbGQ75v1RodneurDqn2YE2SLI[1].png
0x000000003f1c2cd0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\BBNHhtK[1].png
0x000000003f1d92d0      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB12byUE[1].png
0x000000003f1f6070      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB12cE9Q[2].png
0x000000003f1f9070      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\BB12b8sr[2].png
0x000000003f311d50      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\e151e5[1].gif
0x000000003f5b0b50      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LNMSZOKX\HljicO-IgxnroUfdFHPj3KUcJVU[1].png
0x000000003f5f1f20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RI8RYLXD\BB12cRvE[1].png
0x000000003fb09a20      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB12cBcS[1].png
0x000000003fb09d10      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\BB12bsAD[2].png
0x000000003fe03620      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DM6L2Y70\AARmXIK[1].png
0x000000003ff24360      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJVY3EO7\BB1aWITC[2].png
                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility_2.6_lin64_standalone]
└─$ ./volatility -f baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x3df94070   None   \Device\HarddiskVolume3\key.txt
                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility_2.6_lin64_standalone]
└─$ ./volatility -f baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x3df94070   None   \Device\HarddiskVolume3\key.txt
                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility_2.6_lin64_standalone]
└─$ ls
AUTHORS.txt  LICENSE.txt         baby_forensics.vmdk
CREDITS.txt  README.txt          file.None.0xfffffa800e7306b0.dat
LEGAL.txt    baby_forensics.raw  volatility
                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility_2.6_lin64_standalone]
└─$ cat file.None.0xfffffa800e7306b0.dat 
E96<6J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5d

在这里插入图片描述

在这里插入图片描述

thekeyis2e80307085fd2b5c49c968c323ee25d5

方法2

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>.\volatility.exe -f E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1\baby_forensics.raw --profile=Win7SP1x64 filescan | findstr "key"
Volatility Foundation Volatility Framework 2.6
0x000000003df80070      2      0 -W-rwd \Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\vmware-admin\VMwareDnD\abafa01a\key.txt
0x000000003df94070     16      0 RW---- \Device\HarddiskVolume3\key.txt
0x000000003e332e60      1      1 ------ \Device\NamedPipe\keysvc
0x000000003e3345b0      1      1 ------ \Device\NamedPipe\keysvc
0x000000003e7dca60      2      1 ------ \Device\NamedPipe\keysvc

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>.\volatility.exe -f E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1\baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x3df94070   None   \Device\HarddiskVolume3\key.txt

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>

导出来 重新命名为key.txt 内容是
E96<6J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5d

5 题目名称:baby_forensics-2

题目内容:2.电脑中正在运行的计算器的运行结果是多少?
题目附件: 链接:https://pan.baidu.com/s/1nXi3MgoxYfIUZTgxiqlwHg 提取码:b5ld
题目分值:300.0
题目难度:中等

方法1

获取所有的进程信息,找到
calc.exe
进程;

┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ python3 ./vol.py -f baby_forensics.raw  windows.pslist.PsList >> pslist.txt
                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ cat  pslist.txt | grep calc
2844    2552    calc.exe        0xfa800ef2cb30  5       97      1       False2022-05-29 11:50:36.000000      N/A     Disabled

将该进程的内存文件下载下来;

┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ python3 ./vol.py -f baby_forensics.raw windows.memmap.Memmap --pid 2844 --dump
Volatility 3 Framework 2.7.2
Progress:  100.00               PDB scanning finished                        
Virtual Physical        Size    Offset in File  File output

0x10000 0x34aa8000      0x1000  0x0     pid.2844.dmp
0x11000 0x22508000      0x1000  0x1000  pid.2844.dmp

将文件后缀名更改为
.data
,使用GIMP软件打开,修改宽和高;
https://www.gimp.org/downloads/
在这里插入图片描述

在这里插入图片描述

方法2

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>volatility.exe -f baby_forensics.raw --profile=Win7SP1x64 windows > windows
Volatility Foundation Volatility Framework 2.6



Window Handle: #b01f8 at 0xfffff900c0834a60, Name: 7598632541
ClassAtom: 0xc0a2, Class: audio/basic
SuperClassAtom: 0xc019, SuperClass: Static
pti: 0xfffff900c07a9010, Tid: 2656 at 0xfffffa800ee25b60
ppi: 0xfffff900c1fda010, Process: calc.exe, Pid: 2844

7598632541

方法3

要计算机就提取计算器的进程

积累一下 计算器在计算机中的进程是calc.exe

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>.\volatility.exe -f E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1\baby_forensics.raw --profile=Win7SP1x64 pslist | findstr "calc"
Volatility Foundation Volatility Framework 2.6
0xfffffa800ef2cb30 calc.exe               2844   2552      5       97      1      0 2022-05-29 11:50:36 UTC+0000 

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>.\volatility.exe -f E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1\baby_forensics.raw --profile=Win7SP1x64 memdump -p 2844 -D E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1
Volatility Foundation Volatility Framework 2.6
************************************************************************
Writing calc.exe [  2844] to 2844.dmp

6 题目名称:baby_forensics-3

题目内容:3.该内存文件中存在的flag值是多少?以flag{}上传。
题目附件: 链接:https://pan.baidu.com/s/1nXi3MgoxYfIUZTgxiqlwHg 提取码:b5ld
题目分值:300.0
题目难度:中等

方法1

在使用r-studio翻找关键文件的时候 在Music文件夹找到一个i4ak3y文件 打开查看内容 应该是一个解密密钥

qwerasdf
这道题我们需要用到计算机中便签的进程 也就是StikyNot.exe

StikyNot.exe 是Windows操作系统中的一个应用程序,也就是桌面上的便签小工具。它的主要作用是提供一个简单的方式来创建、编辑和管理便签,以便用户可以在桌面上快速记录和查看重要的信息、提醒事项或备忘录。

关于StikyNot.exe 的内存的作用,它主要用于存储和管理用户创建的便签内容。当用户打开StikyNot.exe 应用程序时,操作系统会为该程序分配一定的内存空间,用于存储便签的文本、颜色、位置等信息。这样,当用户关闭应用程序或重新启动计算机时,便签的内容仍然可以被保存下来,以便下次使用时能够恢复之前的状态。

总结来说,StikyNot.exe 的内存的作用是为了存储和管理用户创建的便签内容,确保便签信息的持久性和可恢复性。

看到程序列表中便签程序运行着,查看下便签文件,便签文件的后缀名是.snt

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>volatility.exe -f E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1\baby_forensics.raw --profile=Win7SP1x64 pslist
Volatility Foundation Volatility Framework 2.6
Offset(V)          Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
------------------ -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0xfffffa800ccc1b30 System                    4      0    107      568 ------      0 2022-04-14 11:13:59 UTC+0000
0xfffffa800d7fb650 smss.exe                268      4      2       32 ------      0 2022-04-14 11:13:59 UTC+0000
0xfffffa800d7a6b30 csrss.exe               360    344     10      490      0      0 2022-04-14 11:14:00 UTC+0000
0xfffffa800e55d510 wininit.exe             412    344      3       82      0      0 2022-04-14 11:14:00 UTC+0000
0xfffffa800e568460 csrss.exe               420    404     11      358      1      0 2022-04-14 11:14:00 UTC+0000
0xfffffa800e598b30 winlogon.exe            468    404      5      122      1      0 2022-04-14 11:14:00 UTC+0000
0xfffffa800e5ba7c0 services.exe            520    412      8      238      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e5c4b30 lsass.exe               536    412     12      629      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e5cb7b0 lsm.exe                 544    412     10      144      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e636b30 svchost.exe             644    520     11      377      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e65f460 vmacthlp.exe            708    520      3       59      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e67e5f0 svchost.exe             752    520      8      314      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e6bb740 svchost.exe             840    520     21      484      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e6e4b30 svchost.exe             884    520     18      402      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e6edb30 svchost.exe             908    520     39     1001      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e766830 svchost.exe             368    520     12      612      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e79eb30 svchost.exe             988    520     18      506      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e843b30 spoolsv.exe            1148    520     12      284      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e875b30 svchost.exe            1180    520     18      337      0      0 2022-04-14 11:14:01 UTC+0000
0xfffffa800e935b30 svchost.exe            1320    520     15      277      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800e9aab30 VGAuthService.         1404    520      3       87      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800ea21b30 vmtoolsd.exe           1544    520     10      270      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800ea75b30 taskhost.exe           1696    520      9      215      1      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800eb0f630 sppsvc.exe             1952    520      4      158      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800eb48820 svchost.exe            2016    520      6       94      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800eb97630 dllhost.exe            1792    520     13      203      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800e533b30 msdtc.exe              2092    520     12      148      0      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800ea14060 rundll32.exe           2104    644      3       80      1      0 2022-04-14 11:14:02 UTC+0000
0xfffffa800ec4b6b0 WmiPrvSE.exe           2312    644     12      223      0      0 2022-04-14 11:14:03 UTC+0000
0xfffffa800ec22060 dwm.exe                2528    884      5      155      1      0 2022-04-14 11:14:06 UTC+0000
0xfffffa800ec20910 explorer.exe           2552   2516     43     1113      1      0 2022-04-14 11:14:06 UTC+0000
0xfffffa800ed62890 vmtoolsd.exe           2660   2552     10      212      1      0 2022-04-14 11:14:07 UTC+0000
0xfffffa800edda910 SearchIndexer.         2884    520     14      786      0      0 2022-04-14 11:14:13 UTC+0000
0xfffffa800e902440 taskhost.exe           1748    520      5      103      1      0 2022-05-29 11:43:51 UTC+0000
0xfffffa800e9f9400 svchost.exe            2976    520     12      327      0      0 2022-05-29 11:44:06 UTC+0000
0xfffffa800e630360 wmpnetwk.exe           1064    520      9      208      0      0 2022-05-29 11:44:07 UTC+0000
0xfffffa800ef2cb30 calc.exe               2844   2552      5       97      1      0 2022-05-29 11:50:36 UTC+0000
0xfffffa800efbeb30 StikyNot.exe           2968   2552     10      184      1      0 2022-05-29 12:05:25 UTC+0000
0xfffffa800d7af6f0 audiodg.exe            1276    840      6      138      0      0 2022-05-29 12:07:28 UTC+0000
0xfffffa800dbe0060 taskhost.exe           3244    520      9      174      0      0 2022-05-29 12:13:06 UTC+0000
0xfffffa800dbab060 dllhost.exe            3364    644      9      172      1      0 2022-05-29 12:13:10 UTC+0000
0xfffffa800d8e7780 iexplore.exe           3480   2552     23      642      1      1 2022-05-29 12:13:21 UTC+0000
0xfffffa800dbe9060 iexplore.exe           3532   3480     34      661      1      1 2022-05-29 12:13:21 UTC+0000
0xfffffa800cdba060 iexplore.exe           3824   3480     23      591      1      1 2022-05-29 12:13:59 UTC+0000
0xfffffa800dbf6b30 SearchProtocol         3916   2884      7      255      1      0 2022-05-29 12:14:00 UTC+0000
0xfffffa800dbadb30 SearchFilterHo         3936   2884      5       88      0      0 2022-05-29 12:14:00 UTC+0000
0xfffffa800dda76f0 dllhost.exe            2836    644      6       86      1      0 2022-05-29 12:14:13 UTC+0000
0xfffffa800dd11790 dllhost.exe            2488    644      6       81      0      0 2022-05-29 12:14:13 UTC+0000
0xfffffa800dc8d590 DumpIt.exe             3212   2552      2       51      1      1 2022-05-29 12:14:13 UTC+0000
0xfffffa800dc92060 conhost.exe            3236    420      2       59      1      0 2022-05-29 12:14:13 UTC+0000
0xfffffa800dc32530 dllhost.exe            3420    644      6  7274596 ------      0 2022-05-29 12:14:17 UTC+0000

找到StikyNot.exe进程并将其提取出来 PID是2968

E:\逐鹿\MISC\tools\volatility_2.6_win64_standalone>.\volatility.exe -f E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1\baby_forensics.raw --profile=Win7SP1x64 memdump -p 2968 -D E:\逐鹿\第二界陇剑杯赛事练习场一\baby_forensics_1
Volatility Foundation Volatility Framework 2.6
************************************************************************
Writing StikyNot.exe [  2968] to 2968.dmp

将后缀改为data 使用gimp打开 调一下宽高
在这里插入图片描述

看到一串字符

U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA==
https://zhuanlan.zhihu.com/p/692447949
发现解密失败,那应该是AES加密,需要在内存文件中查找密码,用R-Studio打开内存文件
在这里插入图片描述

进行扫描

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

开始查找,在/root/Users/admin/Music 目录下找到密钥文件
在这里插入图片描述

使用 qwerasdf 密码进行破解

010 打开 发现有串字符串 多次出现
U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA==
在这里插入图片描述

同时发现一个类似 key 的东西 qwerasdf
在这里插入图片描述

直接 AES 解密即可

flag{ad9bca48-c7b0-4bd6-b6fb-aef90090bb98}
在这里插入图片描述

找到系统的
SearchIndexer.exe
进程;


──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ python3 ./vol.py -f baby_forensics.raw  windows.pslist.PsList  | grep SearchIndexer
2884ress520100.0SearchIndexer.  0xfa800edda910  14      786     0       False   2022-04-14 11:14:13.000000      N/A     Disabled

──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ python3 ./vol.py -f baby_forensics.raw windows.memmap.Memmap --pid 2884 --dump

在这里插入图片描述

扫描磁盘文件,查找特殊文件,发现存在疑似key文件;


┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ python3 ./vol.py -f baby_forensics.raw windows.filescan.FileScan >> filescan.txt

在这里插入图片描述

将该文件下载下来,成功获取到密钥;

──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ python3 ./vol.py -f baby_forensics.raw windows.dumpfiles.DumpFiles --physaddr 0x3ef3a310
Volatility 3 Framework 2.7.2
Progress:  100.00               PDB scanning finished                        
Cache   FileObject      FileName        Result

DataSectionObject       0x3ef3a310      i4ak3y  file.0x3ef3a310.0xfa800dbfe0d0.DataSectionObject.i4ak3y.dat

                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ cat file.0x3ef3a310.0xfa800dbfe0d0.DataSectionObject.i4ak3y.dat 
qwerasdf

也可以直接在内存文件里面翻 有U2Fsd头的内容进行解密 但是多少还是有点草率

也可以写个check函数帮助筛选内存文件中可能是flag的内容 参考下面文章

#!/bin/bash

check() {
    pattern="flag|==|10210897103|666c6167|464C4147|Zmxh|Wm14aFoz|&#102|58s4vb|2uk2h3|key|pass|pwd|password|hint|U2FsdGVkX1"
    > check.txt  # 清空或创建 check.txt 文件
    grep -irlE "$pattern" 1.raw | while read -r file; do
        echo -e "File: $file" >> check.txt
        strings "$file" | grep -iE "$pattern" >> check.txt
        echo -e "" >> check.txt
    done
}

check  # 调用 check 函数

echo "检查完成,请查看 check.txt 文件"

┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ chmod +x check
                                                                             
┌──(holyeyes㉿kali2023)-[~/Misc/tool-misc/volatility3-develop]
└─$ ./check > check.txt

在这里插入图片描述

网络安全我来了
关注
专栏目录
[陇剑杯 2021]之Misc篇(NSSCTF)刷题记录④
Aluxian_的博客
04-25 1541
[陇剑杯 2021]Misc篇(NSSCTF)刷题记录④
第一届BMZCTF公开赛-MISC-Writeup
末初的CSDN博客
12-28 6028
文章目录Tiga Tiga vim查看tiga.txt发现存在零宽度字符 零宽度字符隐写在线站:https://yuanfux.github.io/zero-width-web/ 得到misc.zip密码:GiveTiGaGuang! 迪迦.jpg文件尾附加了youcanalso.zip的密码信息 file.zip的密码很明显需要通过爆破这些密码片段文件的CRC得到内容 爆破脚本如下: import binascii import string def crack_crc(): print
[陇剑杯 2021]之Misc篇(NSSCTF)刷题记录⑤
Aluxian_的博客
04-26 2416
[陇剑杯 2021]之Misc篇(NSSCTF)刷题记录⑤
2021陇剑杯网络安全大赛-日志分析
qq_43264813的博客
09-14 1456
2021陇剑杯网络安全大赛-日志分析 题目描述: 单位某应用程序被攻击,请分析日志,进行作答: 解题思路: 4.1网络存在源码泄漏,源码文件名是_www.zip_。(请提交带有文件后缀的文件名,例如x.txt) 4.2分析攻击流量,黑客往/tmp目录写入一个文件,文件名为_ sess.car_。 4.3分析攻击流量,黑客使用的是_SplFileObject_类读取了秘密文件。 ...
2021陇剑杯网络安全大赛-签到
qq_43264813的博客
09-14 1667
2021陇剑杯网络安全大赛-签到 题目描述:网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问) 此时正在进行的可能是_____http_____协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp) 无脑分析题!!! ...
攻防世界-MISC-misc_xor
weixin_62938882的博客
09-06 2266
因为题目给的字符串不长,且一般flag格式为flag{xxxx},猜测字符串开头'cidb'对应'flag',将其转换为二进制,去求秘钥。我们可以使用异或进行加密,即把加密字符转化成二进制,再通过秘钥(二进制)加密形成加密字符,例如下图所示。观察字符串没有发现什么规律,去看题目misc_xor,可以发现xor是异或的缩写。知道如何进行异或解密后题目就很简单了,但是还需求出秘钥。最后随便找个在线工具(或自己写脚本)跑一下就出来了。求得秘钥为5(00000101)异或作为一个运算符,运用如下。
攻防世界1-misc
淡巴枯的博客
11-20 2978
得到密码:20001228。
CTFSHOW-MISC入门
Monica的博客
11-27 8093
MISC 1 打开即得flag MISC 2 打开是一个txt文件,使用win的记事本打开,这个塒NG开头就是png文件了。 改后缀为png,打开即得flag。 也可以winhex或者010直接打开,从而知道是png文件 mac上可以用hex fiend python3脚本 #用于获取图片中的文字 import pytesseract from PIL import Image pytesseract.pytesseract.tesseract_cmd = r'D:\应用\Tesseract-OCR\t
第三届红明谷杯CTF-【MISC】-阿尼亚
Keepb1ue的博客
04-19 2234
flag.zip需要解压密码,在图片中发现一串密文。一串乱码,尝试进行字符编码爆破。获取到密码:简单的编码。
CTF---MISC详解
weixin_52796034的博客
11-03 3717
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。 Recon(信息搜集) 主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧 Encode(编码转换) 主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式 Forensic && Stego(数字取证 && 隐写分析) 隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、内存镜像分析和流量抓包分析等等, 涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件,灵活利用搜索引擎获取所需
Python库 | scikit-misc-0.1.1.tar.gz
03-10
**Python库scikit-misc-0.1.1.tar.gz详解** 在Python的世界里,库是程序员们构建复杂应用的基础,它们提供了丰富的功能,减少了重复劳动。`scikit-misc`是一个这样的库,专为Python开发人员设计,旨在提供一些在...
lucene-misc-6.6.0-API文档-中文版.zip
05-02
赠送jar包:lucene-misc-6.6.0.jar; 赠送原API文档:lucene-misc-6.6.0-javadoc.jar; 赠送源代码:lucene-misc-6.6.0-sources.jar; 赠送Maven依赖信息文件:lucene-misc-6.6.0.pom; 包含翻译后的API文档:lucene...
xorg-x11-fonts-misc-7.5-9.el7.noarch.rpm
11-30
离线安装包,亲测可用
xorg-x11-fonts-misc-7.5-33.el9.noarch
07-04
xorg-x11-fonts-misc-7.5-33.el9.noarch
第三届广东省大学生网络安全攻防大赛新手备赛cry-misc
05-28
共同学习一起进步。里面有博主自己刷的misc杂项、密码学题目与解题过程,虽新手但也尽可能做到过程详细讲解了。放在这里有需要的就下载,我也当作第一次参加这个比赛的回忆。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8459
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
系统安全架构设计及其应用》写作框架,软考高级系统架构设计师
科技互联网领域深度探索者,乐于分享与写作。
09-08 1553
随着社会信息化进程的加快,计算机及网络已经被各行各业广泛应用,信息安全问题也变得愈来愈重要。它具有机密性、完整性、可用性、可控性和不可抵赖性等特征。信息系统的安全保障是以风险和策略为基础,在信息系统的整个生命周期中提供包括技术、管理、人员和工程过程的整体安全,以保障信息的安全特征。
AI在医学领域:医学AI的安全与隐私全面概述
最新发布
声纹感知 洞察芯声
09-12 1383
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1144
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
xorg-x11-fonts-misc 依赖包
10-23
xorg-x11-fonts-misc是一个Linux操作系统中的一个软件包,它是X Window系统中的一个字体集合。字体是指用于显示文本的图形符号集合。在图形界面中,字体的选择和使用对于用户界面的美观度和易读性是非常重要的。 xorg-x11-fonts-misc包含了一系列不同类型和样式的字体。这些字体可以用于显示各种文本内容,包括图标、标题、按钮、菜单等。这些字体集合的目的是为了满足用户对于不同风格和需求的文本显示的要求。 在安装xorg-x11-fonts-misc软件包时,可能会发现它有一些依赖包。所谓依赖包,是指在安装或运行特定软件时所必需的其他软件包。xorg-x11-fonts-misc的依赖包可能是其他字体软件包或X Window相关的软件包。 有了这些依赖包的支持,xorg-x11-fonts-misc软件包才能够正常安装和运行,并提供所需的字体功能,以确保图形界面的文字显示质量。因此,当安装xorg-x11-fonts-misc包时,系统会自动安装它所依赖的其他软件包。 总结来说,xorg-x11-fonts-misc是一个重要的字体集合,用于在Linux操作系统中提供丰富的文本显示功能。它依赖于其他相关软件包的支持,以保证字体的正常安装和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值