[2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup

最新推荐文章于 2024-05-09 22:41:54 发布
最新推荐文章于 2024-05-09 22:41:54 发布
阅读量4.9k 收藏 14
点赞数 5
分类专栏: ctf # misc # 内存取证 文章标签: ctf 取证 内存取证 misc
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120527685
版权

决赛不能联网…手上有只有vol2.6,这道题完全死了

文章目录

[2021首届“陇剑杯”网络安全大赛 决赛]内存取证 writeup

附件:mem_sec.vmem

1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述问题。请根据u盘里的mem_sec.zip文件进行分析。取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写)

2.经过入侵分析发现该主机的使用人员曾经访问过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/)

1https://mail.td??? 2john@uuf.me

3.经过入侵分析该主机曾被植入远控后门,该远控后门被植入时的文件路径为________。(填写绝对路径)
C:\Users\Ado\Downloads\steam.exe C:\users\ado\downloads\steam.exe

4.经过入侵分析该主机曾使用工具进行过痕迹清除,最后一次进行数据清除的时间是_______。(时区为UTC+8,填写格式为yyyy-mm-dd hh:mm:ss)

vmem是虚拟机的内存文件,因为该题是win10的虚拟机,只有vol3可以解析(https://blog.csdn.net/weixin_46081055/article/details/120524660

产品密钥

产品密钥在注册表中可以看到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform右侧的 BackupProductKeyDefault值

$ python3 vol.py -f mem_sec.vmem windows.registry.hivelist

Volatility 3 Framework 1.2.1
Progress:  100.00               PDB scanning finished
Offset  FileFullPath    File output

0x8084a980e000          Disabled
0x8084a9849000  \REGISTRY\MACHINE\SYSTEM        Disabled
0x8084a9881000  \REGISTRY\MACHINE\HARDWARE      Disabled
0x8084ac204000  \SystemRoot\System32\Config\SECURITY    Disabled
0x8084ac232000  \SystemRoot\System32\Config\DEFAULT     Disabled
0x8084ac230000  \SystemRoot\System32\Config\SAM Disabled
0x8084ac206000  \SystemRoot\System32\Config\SOFTWARE    Disabled
0x8084ad13e000  \Device\HarddiskVolume1\EFI\Microsoft\Boot\BCD  Disabled
0x8084ad392000  \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT        Disabled
0x8084ad522000  \SystemRoot\System32\Config\BBI Disabled
0x8084ad4e3000  \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT  Disabled
0x8084aea0c000  \??\C:\Windows\AppCompat\Programs\Amcache.hve   Disabled
0x8084aea26000  \??\C:\Users\Ado\ntuser.dat     Disabled
0x8084ae973000  \??\C:\Users\Ado\AppData\Local\Microsoft\Windows\UsrClass.dat   Disabled
0x8084af0b1000  \REGISTRY\A\{FE82E83E-F53E-4F85-85C5-C721392AB949}      Disabled
0x8084af152000  \??\C:\Users\Ado\AppData\Local\Packages\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\Settings\settings.dat   Disabled
0x8084af1d2000  \??\C:\ProgramData\Microsoft\Windows\AppRepository\Packages\Microsoft.Windows.Cortana_1.13.0.18362_neutral_neutral_cw5n1h2txyewy\ActivationStore.dat Disabled
0x8084af1de000  \??\C:\Users\Ado\AppData\Local\Packages\Microsoft.Windows.Cortana_cw5n1h2txyewy\Settings\settings.dat   Disabled
0x
最低0.47元/天 解锁文章
shu天
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
2021陇剑杯网络安全大赛wp-webshell部分(详细题解)
偷一个月亮
09-15 6542
3.1 3.2 其中web根目录可以再system命令中看到 3.3 3.4 3.5 写frpc配置文件,推测为frpc,正确 实际上传动作为 L3Zhci93d3cvaHRtbC9mcnBj解码base64即为/var/www/html/frpc 3.6 3.5中写配置动作,hex转字符后,如下 3.7 同上 ...
2023陇剑杯答题笔记(更新中),2024年网络安全开发实战
04-07 710
题目:该webshell的连接密码是多少?连接密码在md5后,他的前16个作为数据包加密密钥。所以此处需要寻找md5后为748007e861908c03的值,使用cmd5解密得14mk3y。
2023第二届陇剑杯网络安全大赛 SS Writeup
苏生要努力
03-07 1024
打开流量包文件过滤http流量从这个开始追踪TCP流直接百度搜索payload搜索得到这题flag就是CVE-2022-22965。
CTF - 第二届“陇剑杯网络安全大赛线上赛部分write up
HengMengSec的博客
08-26 411
CTF - 第二届“陇剑杯网络安全大赛线上赛部分write up
网络安全最全陇剑杯回忆及总结(2),网络安全程序员必会
最新发布
2401_84297899的博客
05-09 233
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
2021陇剑杯网络安全大赛wp-JWT部分(详细题解)
偷一个月亮
09-15 7835
2021陇剑杯网络安全大赛-JWT部分(详细题解) 2.1 token特征 eyJ 2.2 2.3 2.4 2.5 2.6
首届陇剑杯网络安全大赛(部分WP)
weixin_46245411的博客
09-15 5427
浅谈~ 博主当成一次个人赛玩玩,没想到这次比赛的赛题类型还是很新颖的,基本都是MISC类型的题目 我这里上传了题目在百度云上,希望UU们手下留情~别让它爆了陇剑杯题目(提取码:vuno) 话不多说,直接上题解!! 1.1 使用wireshark打开其中的“Good.pcapng”流量包 发现有HTTP包,直接过滤HTTP包,再结合题目给出的提示,没有发现dns、ftp包,所以判断出是http协议攻击: 所以选择“http”协议的网络攻击 2.1 使用wireshark.
[陇剑杯 2021]内存分析
J_linnb的博客
04-29 539
解压完成后发现多了一个HUAWEI P40_2021-aa-bb xx.yy.zz文件夹,并且在里面发现一个images0.tar.enc文件,此文件为华为加密文件,我们需要在网上下载解密脚本,解压密码题目中已经提示为上一题的flag,也就是。本题的格式也是flag{xxx},含有空格,提交时不要去掉)(密码中为flag{xxxx},含有空格,提交时不要去掉)虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为(,注意,运行脚本时密码的空格要改为'_'也就是。提取结束后会发现有两个文件。
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
山东省大学生网络安全技能大赛决赛Writeup.pdf
09-30
山东省大学生网络安全技能大赛决赛Writeup 本文档总结了山东省大学生网络安全技能大赛决赛Writeup,涵盖了Crypto0x00 RSA1、RSA2和仿射加密三个部分的知识点。 Crypto0x00 RSA1 在Crypto0x00 RSA1部分中,我们...
2021CTF工业信息安全技能大赛(杭州站)
08-02
2021CTF工业信息安全技能大赛(杭州站)
Microsoft.Windows.Cortana_cw5n1h2txyewy.zip
05-30
删除小娜之后,windows桌面的搜索框不能继续使用,只有重新安装小娜才能使用。这里windows不能下载小娜,只能通过重装系统来解决,所以这里提供小娜的文件夹,替换之前误删的文件位置就可以。
2021一带一路暨金砖大赛之企业信息系统安全赛项AWD-writeup(解析)
12-18
通过赛项检验参赛选手网络组建、安全架构和网络安全运维管控等 方面的技术技能,检验参赛队组织和团队协作等综合职业素养,培养学 生创新能力和实践动手能力,提升学生职业能力和就业竞争力。通过大 赛引领专业教学...
陇剑杯Writeup(部分)
s1mplelife的博客
09-15 2158
1、签到 http协议网络攻击 2 JWT 2.1 该网站使用了_ JWT_认证方式。 2.2 黑客绕过验证使用的jwt中,id和username是_10087#admin _。 2.3 黑客获取webshell之后,权限是_ root_? 2.4 黑客上传的恶意文件文件名是/tem/1.c___。 2.5 黑客在服务器上编译的恶意so文件,文件名是looter.so___。 2.6 黑客在服务器上修改...
2021陇剑杯网络安全大赛wp-SQL注入(详细题解)
偷一个月亮
09-15 2635
8.1 8.2 通过语句可以直接判断出 8.3 根据布尔盲注的原理及日志中其所使用的语句 其从flag字段一位逐个判断进行读取,可知第一位正确后应开始读取第二位,即每条一句的最后一条是正确的 通过逐个字符判断,拼接flag ...
✿第一届陇剑杯内存取证1WP以及2部分思路
Tokeii想躺平
09-14 1796
内存取证1 因为题目要求求密码,所以直接使用Passware Kit Forensic 2021 内存分析功能进行一把梭 第二问提示有手机备份文件 使用各类取证工具,甚至使用foremost可以轻易地知道型号为HUAWEI 使用volatility来分离相关文件 因为我试用的是windows下的,所以用到的是find命令 vol -f Target.vmem --profile=Win7SP1x64 filescan|find "HUAWEI" 直接提取第一个即可 vol -f Target.vmem
Chromium源码由浅入深(五)
phmatthaus的专栏
10-26 328
Chromium源码由浅入深(五)
2021陇剑杯线上——机密内存取证
m0_46296905的博客
06-29 2045
给了我们三个文件,有一个vmem文件,vmem即虚拟机的内存文件,首先尝试直接用volatility分析使用volatility进行直接分析发现无法识别profile另外两个文件的文件类型不明,需要我们自行判断,但可以肯定的是其它类型的虚拟机文件查阅了相关资料了解了一下虚拟机文件类型及其作用下面是vmware官方文档中给出的虚拟机文件类型说明再观察一下两个文件的内容,有个很明显的特征就是这个文件一半是可打印字符,一半是乱码,注意到乱码区域开头部分有个显眼的标识码——bin01就是一个二进制文件我们将一个虚拟
2021 [线下]陇剑杯 wp
qq_45603443的博客
09-29 7304
2021 [线下]陇剑杯 wp前言1.11.21.31.41.53.13.34.14.25.15.2Tip 前言 wp由EDI yanshu师傅投稿 ,感谢yanshu师傅。 部分题目为赛后复现。 部分题目复现方法由一些师傅提供解题思路,感谢。 题目附件获取方法在文章末尾。 1.1 导出对象 发现 6.html 中有颜文字 解开后 alert(“EBA01E64-416C-419E-9C9A-C807AD9741D2”); 1.2 全局搜X-Forwarded-For,会发现它ip是五位的,答案
陇剑杯writeup
07-28
根据提供的引用内容,我了解到以下信息: - 引用\[1\]提到了关于虚拟机内存文件(vmem)和解析工具vol3的内容。 - 引用\[2\]提到了嫌疑人下载过无影无踪扫描文件,并导出了ntfs元文件和使用了内存镜像进行分析的命令。 - 引用\[3\]提到了一次内存分析的情况,并给出了内存主机的产品密钥。 然而,你的问题是关于"陇剑杯writeup",但是在提供的引用内容中并没有提到这个问题的相关信息。请提供更多的上下文或明确你的问题,以便我能够为你提供更准确的答案。 #### 引用[.reference_title] - *1* *2* *3* [[2021首届陇剑杯网络安全大赛 决赛]内存取证writeup](https://blog.csdn.net/weixin_46081055/article/details/120527685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值