第46届金砖国家世界技能大赛内存取证样题一

最新推荐文章于 2024-09-03 14:14:20 发布

lpppp小公主

最新推荐文章于 2024-09-03 14:14:20 发布

阅读量956

点赞数 18

文章标签：网络安全

本文链接：https://blog.csdn.net/weixin_74152497/article/details/141176631

版权

第46届金砖国家世界技能大赛内存取证样题一

题目：

从内存中获取到用户admin的密码并且破解密码，以Flag{admin,password} 形式提交(密码为 6 位)；
获取当前系统 ip 地址及主机名，以 Flag{ip:主机名}形式提交；
获取当前系统浏览器搜索过的关键词，作为 Flag 提交；
当前系统中存在挖矿进程，请获取指向的矿池地址，以 Flag{ip:端口}形式提交；
恶意进程在系统中注册了服务，请将服务名以 Flag{服务名}形式提交。（上题已经看到进程）
获取桌面上的flag.txt文件的内容是什么？
病毒在自我删除时执行的命令是什么？

题一

题目：

从内存中获取到用户admin的密码并且破解密码，以Flag{admin,password} 形式提交(密码为 6 位)；

思路：

直接使用插件 mimikatz 获取用户名和密码，或者使用 lsadump 查看强密码

python2 vol.py  --plugins=/mnt/e/CTFtoos/取证分析/volatility2.6/plugins/ -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 mimikatz

image-20240808002116-8or19zl

image-20240808005152-hgs0c4g

在将密码进行 md5 解密

image-20240808004901-1lqno1c

flag为： flag{admin,dfsddew}

题二

题目：

获取当前系统 ip 地址及主机名，以 Flag{ip:主机名}形式提交；

思路：

使用 netscan 查看网络连接 获取当前系统 ip

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 netscan

image-20240808005553-zpy8rxg

主机名上面通过插件 mimikatz 已经获取为 WIN-9FBAEH4UV8C，也可以插件如下：

printkey -K “ControlSet001\Control\ComputerName\ComputerName”

 python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

在这里插入图片描述

flag为：flag{192.168.85.129:WIN-9FBAEH4UV8C}

题三

题目：

获取当前系统浏览器搜索过的关键词，作为 Flag 提交；

思路：

使用 **iehistory** 查看浏览器历史记录

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 iehisto
ry

image-20240808011249-3id86ej

flag为： flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

题四

题目：

当前系统中存在挖矿进程，请获取指向的矿池地址，以 Flag{ip:端口}形式提交；

思路：

使用 netscan 插件查看网络状态，可以看到 54.36.109.161:2222  正在 ESTABLISHED（通信）,这个端口是DDG挖矿病毒开放的端口

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 netscan

image-20240808011734-357gtcy

flag为： flag{54.36.109.161}

题五

题目：

恶意进程在系统中注册了服务，请将服务名以 Flag{服务名}形式提交。（上题已经看到进程）

思路：

由上题可知挖矿程序的进程 id 为 2588，因此我们查找该进程是否存在父进程，使用插件 **svcscan**

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 svcscan| grep '3036' -A 10

在这里插入图片描述

flag为： flag{VMnetDHCP}

题六

题目：

获取桌面上的flag.txt文件的内容是什么？

思路：

直接使用插件 filescan 扫描桌面的文件

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 filesca
n | grep "Desktop"

image-20240808014420-orvxcz6

然在使用插件 dmpfiles 提取出来

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 -D  /mnt/c/Users/11714/Desktop/1

image-20240808021151-77xu3w0

image-20240808021212-2ls444o

flag为： flag{180d163ca48c793cb0db74fb96d6a882}

题七

题目：

病毒在自我删除时执行的命令是什么？

通过 pslist 插件我们可一发现病毒程序

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 pslist

image-20240808021741-1u4egr2

解下来就是将这个程序提取下来 procdump

 python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 procdump -Q 0xfffffa801943fa30 -D  /mnt/c/Users/11714/Desktop/1