[ctf misc][2021祥云杯初赛]层层取证

最新推荐文章于 2024-09-05 03:15:24 发布
最新推荐文章于 2024-09-05 03:15:24 发布
阅读量2.6k 收藏 11
点赞数 2
分类专栏: ctf 文章标签: 取证 ctf misc 内存取证
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/119844223
版权
本文介绍了参与2021祥云杯初赛的取证过程,涉及磁盘和内存镜像分析。通过分析,找到了BitLocker加密分区的恢复密钥,但未能解密;在流量包中发现RAR压缩包,经过处理后得到包含flag的Word文档,最终解密获取flag。
摘要由CSDN通过智能技术生成

呜呜写博客以来第一次线上做出题目了

[2021祥云杯初赛]层层取证

附件:
Forensic_9b23172e1dba502daa656b8d4234897f.rar
内含win7x64电脑镜像和内存镜像disk_image.rar,memdump.rar

目录:
在这里插入图片描述

1.初步分析

disk_image

首先取证大师
在这里插入图片描述
得到xiaoming用户NT密码哈希值:92efa7f9f2740956d51157f46521f941,cmd5网站在线解密(是付费的)
请添加图片描述
passwarekit也可以解密内存镜像得到
在这里插入图片描述

在xiaoming账户的桌面上可以看到叫flag.txt的hint:你连电脑都不能仿真打开,还想要flag ?,就我个人经验仿真要看的信息,可能是Windows便笺
在这里插入图片描述
E盘是一个BitLocker加密的分区,恢复密钥标记DCC7BE67-508A-4EA3-AF4E-4BE30C098739
在这里插入图片描述
同时在xiaoming的文档目录下,可以看到被删除的BitLocker DCC7的恢复密钥txt,可是恢复不了,可能是原数据被流量包之类的覆盖了。
在这里插入图片描述
ps,取证时候可以稍微注意一下最近访问的文档,可能会有提示
在这里插入图片描述

ps,我一直想找这个BitLocker,但是搜出来好多假的BitLocker,最后做完也没要解密分区,气
在这里插入图片描述


memdump

volatility_2.6_win64_standalone.exe -f E:\memdump.mem imageinfo得到策略Win7SP1x64

volatility_2.6_win64_standalone.exe -f E:\memdump.mem --profile=Win7SP1x64 pslist


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  shu天
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
wmctf2021 Flag Thief && 祥云 层层取证 && 陇剑 wifi && 羊城 辣鸡取证

				
			

			

				

					weixin_45805993的博客
				

				

					09-18
					
					853
					
				

			

		

		

			
				
0x00我是菜鸡
这题算是做过的取证题里很复杂的了,拿出来复现一下
大部分内容参考了套神的博客,先贴在上面
https://blog.csdn.net/qq_42880719/article/details/120000111
0x01题解
因为没有取证大师,我这里先选择了用FTK挂载镜像
Hint:曾远程过其他电脑
从大神的博客学到这里大概有几种思路

1.default.rdp文件
2.注册表搜索Terminal Server Client
3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%

			
		

	



                

            
              



	

		

			

				
					
CTF-Misc:简单取证

				
			

			

				

					ALLEN'Blog
				

				

					12-09
					
					921
					
				

			

		

		

			
				
提示为 flag{用户名_对应的密码}

			
		

	



              


  
              

                


	

		

			

				
					
祥云-Misc-层层取证

				
			

			

				

					qq_47168481的博客
				

				

					09-05
					
					641
					
				

			

		

		

			
				
层层取证复现
首先提供的文件,一个镜像,一个内存

利用volability使用hashdump命令得到

对xiaoming的nt哈希值进行破解(可使用彩虹表碰撞或者在线md5解密)
解出来为:xiaoming_handsome
仿真,挂载,解密很重要,按照介绍一步步来即可。
https://blog.csdn.net/NDASH/article/details/109295885 (挂载仿真一步到位,后面仿真时,若打开出现boot manager,将类型由uifi改为bios即可)
挂载到本地磁盘:
利

			
		

	





	

		

			

				
					
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析

					
最新发布

				
			

			

				

					2401_86436851的博客
				

				

					09-05
					
					1260
					
				

			

		

		

			
				
首先,分析VMEM文件整体信息然后, 通过 lsadump 查看内存中密码凭据的明文缓存数据,得到flag。

			
		

	



		

			
		



	

		

			

				
					
CTF---MISC详解

				
			

			

				

					weixin_52796034的博客
				

				

					11-03
					
					4827
					
				

			

		

		

			
				
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。
Recon(信息搜集)
主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧
Encode(编码转换)
主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式
Forensic && Stego(数字取证 && 隐写分析)
隐写取证Misc 中最为重要的一块,包括文件分析、隐写、内存镜像分析和流量抓包分析等等,
涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件,灵活利用搜索引擎获取所需

			
		

	





	

		

			

				
					
[祥云2021]几道简单题的wp

				
			

			

				

					Huamang的博客
				

				

					08-22
					
					4371
					
				

			

		

		

			
				
ezyii
https://xz.aliyun.com/t/9948
找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子
exp
<?php
namespace Codeception\Extension{
    use Faker\DefaultGenerator;
    use GuzzleHttp\Psr7\AppendStream;
    class  RunProcess{
        protected $output;
        private $proc

			
		

	





	

		

			

				
					
祥云2021题目汇总  祥云.7z

				
			

			

				

					08-31
				

			

		

		

			
				
祥云2021题目汇总 祥云.7z

			
		

	





	

		

			

				
					
领航 CTF 2021 决赛 真题 7z

				
			

			

				

					12-07
				

			

		

		

			
				
领航 CTF 2021 决赛

			
		

	





	

		

			

				
					
2021年“绿城”网络安全大赛

				
			

			

				

					09-30
				

			

		

		

			
				
这次大赛的标签“2021年‘绿城’网络安全大赛 ctf”明确指出了比赛的性质和内容。  在2021年的“绿城”网络安全大赛中,参赛者们可能会面临各种挑战,例如:  1. **密码学**:参赛者需要了解和应用不同的加密...

			
		

	





	

		

			

				
					
BMZctfmisc

				
			

			

				

					qq_46540840的博客
				

				

					02-19
					
					432
					
				

			

		

		

			
				
BMZCTFmisc题题目[2020首届祥云]带音乐家2018 QCTF X-man-Keyword[2020第三届安洵]BeCare4
题目
[2020首届祥云]带音乐家
首先打开是一个decode_it(不知道后缀名)和一个加密的rar 文件  => 利用decode_it获取密码来解开


放到winhex中
emm.不知道这是啥文件有点懵,参考大佬博客知道Velato用MIDI文件作为源代码下载文件直接使用


在下载文件中用cmd指令Vlit.exe decode_it 生成了一个ex

			
		

	





	

		

			

				
					
第二届“祥云”网络安全大赛暨吉林省第四届大学生网络安全大赛 WriteUp 2021祥云misc

				
			

			

				

					mumuzi的博客
				

				

					08-23
					
					4394
					
				

			

		

		

			
				
层层取证
层层套娃取证(确信)
给了一个内存和一个虚拟磁盘的取证,先看磁盘,取证大师打开提示存在bitlocker加密
用Passware Kit Forensic 2021 v1 (64-bit)能直接梭出来bitlocker的秘钥
方法是把001解压出来,然后把2.ntfs放进去,再选择有内存镜像,导入这道题的内存镜像,然后等待……

当然之后也发现内存中也可以找到,但是已经不重要
得到549714-116633-006446-278597-176000-708532-618101-131406
解开发

			
		

	





	

		

			

				
					
CTF比赛中常见的MISC解题方法

				
			

			

				

					EaSoNgo111的博客
				

				

					05-09
					
					3140
					
				

			

		

		

			
				
可以看到1.png这个图片的文件头,那我们现在需要寻找文件尾,按ctrl+f,查找文件尾AE  42  60  82,如果图片里隐藏了数据,那么文件尾后就会藏有文件:大多数时候都是pk开头的文本格式,这就是压缩包,所以把这个图片扔到binwalk或者foremost里分离一下(嫌麻烦的可以直接将这个1.png文件改后缀),如果是隐藏了zip,直接将1.png改名为1.zip。(一)鼠标右键查看属性,最简单的题目是属性里备注给出了flag或者各种编码(编码解法在最上面我说过的)文件尾,50  4B.

			
		

	





	

		

			

				
					
CTF_论剑场 misc杂项 WriteUp(持续更新)

				
			

			

				

					qq_41995976的博客
				

				

					05-19
					
					9901
					
				

			

		

		

			
				
签到题

提交这里的flag即可
Snake

开始游戏要先注册


登录后发现是一个贪吃蛇游戏 并且题干里说要攒够500分就可获得flag
一开始思路是逆向工程 然后找flag 但是根据经验(
并且电脑里正好有CE 就使用CE来改分数了

但是发现改了分数之后的flag为乱码…… 于是又搞了一会儿 发现是长度的问题……
于是把长度和分数一起修改:

成功获得了flag
之后的再做了之后更新

...

			
		

	





	

		

			

				
					
内存取证习题复现

				
			

			

				

					m0_50911938的博客
				

				

					01-10
					
					1555
					
				

			

		

		

			
				
内存取证

取证文件后缀 .raw、.vmem、.img
常用命令(imageinfo,pslist,dumpfiles,memdump)
可疑的进程(notepad,cmd)
和磁盘取证结合起来考察
了解部分操作系统原理
常见文件后缀dmg,img

volatility基础命令
可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令
imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一

			
		

	





	

		

			

				
					
CTF-MISC取证专项练习(更新ing)

				
			

			

				

					qq_52820087的博客
				

				

					10-13
					
					3020
					
				

			

		

		

			
				
CTF-MISC取证专项练习

			
		

	





	

		

			

				
					
2021第二届“祥云”网络安全大赛 部分Writeup

				
			

			

				

					qq_42815161的博客
				

				

					08-23
					
					3515
					
				

			

		

		

			
				
MISC

ChieftainsSecret


题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits}




ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分

			
		

	





	

		

			

				
					
2020第六届“美亚”团队赛WP

					
热门推荐

				
			

			

				

					Tangsir0204的博客
				

				

					11-09
					
					1万+
					
				

			

		

		

			
				
一、前言

 最近也是恰好备战第七届美亚,参加了美亚的培训,跟着复盘又重新做了一次2020年的赛题,个人赛很简单,网上也有很多版本,团赛好像没有完整的WP,当然我的WP也不够完整,也有部分的题没有得到答案,希望得到大神们的指点,有什么不对的地方,师兄们可以指正。

 总的来说难度不大,但是需要的时间应该是不少的,且关联性也比较强,尽管是团队协作也需要尽可能的多交流彼此发现的成果,不然很难达到协作的目的。

 手机取证方面遇到了很大的难题,特别是安卓的wifi mac地址和IOS高版本的back u...

			
		

	





	

		

			

				
					
windows密码破解(哈希破解技术)

				
			

			

				

					weixin_45511599的博客
				

				

					10-13
					
					6075
					
				

			

		

		

			
				
一.windows密码与哈希
1.我们用于登录的windows密码,在windows系统中会进行加密。一般密码加密文件储存在c盘的windows\system32\config目录下,文件名是SAM文件。在system目录下有两个非常重要的文件
A.SAM文件:储存着windows密码,使用LM或者NT算法加密成明文哈希,再由syskey加密成乱码的二次密文
B.SYSTEM文件:密钥文件,有一个程序syskey,对上面的SAM文件进行第一次的解密,解密成明文的哈希值
我们使用反编译技术就可以获得密码
二.

			
		

	





	

		

			

				
					
MRCTF部分题的总结与复现

				
			

			

				

					qwzf
				

				

					04-10
					
					9616
					
				

			

		

		

			
				
0x00 前言
题目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web。



			
		

	





	

		

			

				
					
绿城2021 CTF竞赛真题解析

				
			

			

				

					
				

			

		

		

			
				
资源摘要信息:"绿城 CTF 2021 真题 (1).rar"  知识点: 1. CTF(Capture The Flag):CTF是一种网络安全竞赛,通常以挑战和破解问题的形式进行。参赛者需要在规定的期限内,通过各种技术手段解决主办方设置的问题...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
shu天

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值