OtterCTF

最新推荐文章于 2023-05-15 01:29:12 发布
最新推荐文章于 2023-05-15 01:29:12 发布
阅读量275 收藏 2
点赞数 3
分类专栏: CTF kali 文章标签: 网络安全 安全威胁分析 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51030879/article/details/127736032
版权
CTF 同时被 2 个专栏收录
6 篇文章 1 订阅
订阅专栏
kali
5 篇文章 1 订阅
订阅专栏

目录

OtterCTF-Memory Forensics

1.What the password?

2.General Info

后边的关卡在陆续发

OtterCTF-Memory Forensics

最近在学取证将自己的解题过程记录一下

1.What the password?

  • you got a sample of rick’s PC’s memory. can you get his user password?(你得到了瑞克电脑内存的样本,你能得到他的用户密码吗?
  • 使用 
    volatility -f qz.vmem imageinfo
    获取基本信息 profile为Win7SP1x64 

  • volatility -f qz.vmem --profile=Win7SP1x64 hashdump
    用hashdump查看一下密码 发现全是MD5加密过的 

  • volatility -f qz.vmem --profile=Win7SP1x64 lsadump
    用lsadump获取一下明文的密码

  • 得到 CTF{MortyIsReallyAnOtter}

2.General Info

  • Let’s start easy - whats the PC’s name and IP address?(让我们从简单的开始–电脑的名称和IP地址是什么?)
  • volatility -f qz.vmem --profile=Win7SP1x64 netscan
    使用netscan查看IP地址 得到IP地址:192.168.202.131 

  • volatility -f qz.vmem --profile=Win7SP1x64 hivelist
    使用hivelist查看注册表 

  • volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey
    使用printkey查看注册表system值

  • 接下来在表里进行翻找 
    • volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

    • volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
      翻到这里时发现了一个名为ComputerName的值 

    • volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"
      一直不停的解析 

    • volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

  • 电脑名称: WIN-LO6FAF3DTFE IP地址:192.168.202.131
0xThrL
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Otter CTF (取证专项赛)WP兼volatility取证工具运用技巧
Nancy523的博客
07-14 2516
复现赛链接:NSSCTF - OtterCTF 2018(复现赛) (ctfer.vip)附件链接:OtterCTF.7zyou got a sample of rick’s PC’s memory. can you get his user password?惯例,拿到附件以后先分析一下映像的信息使用hashdump来获取用户hash使用lsadump从注册表中提取LSA秘钥信息(mimikatz也可以)Let’s start easy - whats the PC’s name and IP addre
OtterCTF-内存取证
5L2g556F5ZWl77yf
11-30 1198
控制系统启动的有三个注册表项,在HKEY_LOCAL_MACHINE/SYSTEM下,存在着 CurrentControlSet、ControlSet001、ControlSet002这三个子键,其中,ControlSet001,ControlSet002这两个子键中包含主机名。通过文件搜索相关关键字,分析来源,发现下载 BitTorrent协议的种子文件 ,在第7题的进程中也发现了相关进程,转储该文件进行分析。查看该进程进程树,发现它还有一个字进程vmware-tray.ex。
OtterCTF—Network WP
最新发布
m0_66638011的博客
05-15 323
学到了http类型,usb类型和smb类型的大体分析方法,都是之前没有接触过的,总结一句话还是欠练啊。
OtterCTF 内存取证
weixin_51804748的博客
05-15 2793
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
OtterCTF---Memory Forensics内存取证(1-13)
m0_65712192的博客
05-09 1598
OtterCTF 内存取证(1-13)
OtterCTF的Memory Forensics内存取证文件
12-09
在网络安全竞赛如OtterCTF中,这类任务通常用于挑战参赛者的逆向工程、漏洞发现和分析技能。这个特定的文件"OtterCTF.vmem"是一个vmem格式的内存转储,它包含了某个操作系统在某一时刻的完整内存状态。 内存取证的...
OtterCTF.7z
11-29
OtterCTF 平台中的 Memory Forensics 资源分析》 Memory Forensics,即内存取证,是一种用于分析系统内存映像以获取关键安全信息的技术。在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,这项技术至关...
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。...
OtterCTF 内存取证(6-9)
volcano的博客
07-27 2250
1
Otterctf 2018 内存取证
Czheisenberg的博客
03-28 5749
内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用
OtterCTF - Reverse - Msg Me This
weixin_30455365的博客
12-28 281
原文地址:Msg Me This 题目 Category: Reverse Engineering Points: 500 Solves: 15 Description: Rick created another vicious program Could you get the correct flag? 为了方便下载,我把exe文件后缀改成了jpg,下载下来改回去即可。 二进制文件: 解题过程...
OtterCTF 内存取证(10-13)
volcano的博客
08-05 2439
10 - Bit 4 Bit We’ve found out that the malware is a ransomware. Find the attacker’s bitcoin address. 先把恶意文件给dump出来 python vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3720 -D ./ 11 - Graphic’s For The Weak There’s something fishy in the ma
OtterCTF—内存取证wp
m0_66638011的博客
05-09 4081
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
OtterCTF 内存取证(1-5)
volcano的博客
07-12 4181
.
内存取证之NSSCTF-OtterCTF 2018(复现赛)
wuwuliuliu0524的博客
07-21 1421
6-8}0x400x060x?{18}0x5a0x0c0x00{2}What'srick'scharacter'sname?答案使用-连接加上NSSCTF{}格式提交,例如游戏名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}答案使用-连接加上NSSCTF{}格式提交,例如PC名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}{18}0x5a0x0c0x00{2},Rick的角色叫什么?......
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 823
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
Memory Forensics (内存取证)
zip471642048的博客
05-22 1053
文章目录Memory Forensics1 - What the password? Memory Forensics 1 - What the password? volatility -f OtterCTF.vmem imageinfo 查看rick的hash密码值然后拿去cmd5解密发现解不出来 518172d012f97d3a8fcc089615283940没解出来,用lsadump这个也是用来提取hash的 ...
CTF——杂项思路整理
recover517的博客
07-23 1058
不定期对杂项类题目进行整理,帮助大家根据已知条件快速定位解题思路
【Writeup】华山杯CTF2016 Forensics部分
KAlbertLee
09-12 3133
来自2016.09.10的华山杯,新鲜滚热辣的writeup Forensics部分 因为本人擅长图像处理,仅给出这一部分的解题思路,希望与各位交流 0x01.蒲公英的约定 很简单的图片隐写 使用StegSolve,查看Red plane0(Blue0,Green0都可以),可以看见一个二维码 反色一下可扫 得到一串编码,使用base32解密 base32.p

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xThrL

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值