OtterCTF 2018 wp

最新推荐文章于 2024-07-11 20:38:20 发布
最新推荐文章于 2024-07-11 20:38:20 发布
阅读量400 收藏 9
点赞数 9
文章标签: 网络安全 数据分析 python 开发语言 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxfsa/article/details/135254416
版权

[OtterCTF 2018]What the password?

先用imageinfo查看版本

然后用lsadump提取密码

[OtterCTF 2018]What the password?

volatility imageinfo 查看版本

lsadump

[OtterCTF 2018]General Info

mimikatz得到主机名WIN-L06FAF3DTFE及用户名 Rick

netscan得到IP 192.168.202.131

[OtterCTF 2018]Play Time

pslist查看所有进程

找到游戏LunarMS.exe

PID为708

netscan 加上grep 708筛选得到ip地址

[OtterCTF 2018]Silly Rick

clipboard

[OtterCTF 2018]Name Game

memdump出游戏进程

借grep筛选

strings 708.dmp | grep "Lunar-3" -A 10 -B 10

[OtterCTF 2018]Hide And Seek

要找到一个恶意软件

用pstree查看所有进程的父子关系

·代表父级进程

··代表子级进程

vmware-tray.exe的父级进程是Rick And Morty 很值得怀疑

用cmdline追踪发现果然不是正常的vmware进程

[OtterCTF 2018]Name Game 2

引用Ananda 和 randark两位师傅的WP

From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 1 2 What's rick's character's name?

通过一项小研究,我们发现登录字符的用户名总是在这个签名之后:0x64 0x??{6-8}0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 3 4 瑞克的角色叫什么名字?

在linux下,xxd指令可以打印文件的hexdump信息,故借此筛选特定信息的位置

xxd 708.dmp | grep "5a0c 0000"

直接用010检索会出现185个,但大多数是乱码,第21个就找到了

[OtterCTF 2018]Path To Glory

参考randark师傅

恶意软件有可能是通过种子下载下来的,那么就去寻找种子文件

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescan | grep "Rick And Morty"

将种子文件提取出来,并查看里面的信息

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D ./考虑到可能其中夹带有有用信息,直接用strings进行筛选

[OtterCTF 2018]Path To Glory 2

按照恶意软件进入的方式继续搜索

之前有看到很多chrome的进程,种子是通过chrome下载的,dump chrome 的进程

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -n chrome.exe -D ./

通过strings 一条条检索

strings 3924.dmp |grep 'Rick And Morty' -C 10 

确实辨认不出flag

[OtterCTF 2018]Bit 4 Bit

先把那个恶意进程procdump下来

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D ./

IDA打开找到

[OtterCTF 2018]Graphic's For The Weak

foremost 恶意进程提出图片

[OtterCTF 2018]Recovery

标题逆向,把恶意进程的exe放进ida分析,可以看出和userName-computerName有关

放进dnSpy中看的更明白,computerName-userName

strings -el 3720.dmp | grep 'WIN-LO6FAF3DTFE-Rick' -C 10 

[OtterCTF 2018]Closure

查看一下桌面文件,实际上做题过程中已经在很多地方见过flag.txt这个文件了

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescan | grep 'Desktop'

了解一下hiddentear的解密方式

用hidden-tear-decrypto工具密码是之前获取过的aDOBofVYUNVnmp7

(挺魔幻的,只要给密码就全局解密了)

#总算是把Otter做完了

Sch0rd1n9er
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OtterCTF—内存取证wp
m0_66638011的博客
05-09 4081
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
[OtterCTF 2018]之Misc篇(NSSCTF)刷题记录⑦
Aluxian_的博客
05-04 1373
[OtterCTF 2018]之Misc篇(NSSCTF)刷题记录⑦。
Otterctf 2018 内存取证
Czheisenberg的博客
03-28 5749
内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 822
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
内存取证之NSSCTF-OtterCTF 2018(复现赛)
wuwuliuliu0524的博客
07-21 1421
6-8}0x400x060x?{18}0x5a0x0c0x00{2}What'srick'scharacter'sname?答案使用-连接加上NSSCTF{}格式提交,例如游戏名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}答案使用-连接加上NSSCTF{}格式提交,例如PC名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}{18}0x5a0x0c0x00{2},Rick的角色叫什么?......
OtterCTF—Network WP
m0_66638011的博客
05-15 323
学到了http类型,usb类型和smb类型的大体分析方法,都是之前没有接触过的,总结一句话还是欠练啊。
OtterCTF-内存取证
5L2g556F5ZWl77yf
11-30 1198
控制系统启动的有三个注册表项,在HKEY_LOCAL_MACHINE/SYSTEM下,存在着 CurrentControlSet、ControlSet001、ControlSet002这三个子键,其中,ControlSet001,ControlSet002这两个子键中包含主机名。通过文件搜索相关关键字,分析来源,发现下载 BitTorrent协议的种子文件 ,在第7题的进程中也发现了相关进程,转储该文件进行分析。查看该进程进程树,发现它还有一个字进程vmware-tray.ex。
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
Wp.rar_wp
09-14
标题中的"Wp.rar_wp"可能是指一个名为"Wp"的RAR压缩文件,后缀"_wp"可能是用户为了标记或区分该文件而添加的自定义标识。这个压缩包内容与但丁滤波器设计有关,是一种在信号处理领域广泛应用的技术。 在描述中提到...
WP7连连看游戏
04-02
该源码实现一款现在很流行的一种游戏,WP7连连看游戏,游戏玩法很简单,只要我们需要找到相同的两张牌用三根以内的直线连在一起就可以消除,非常好玩,并且游戏的源码比较齐全,喜欢wp游戏开发的朋友可以下载学习看...
2018_2018_
09-30
结合描述中的"fresh version 2018 list theme wp",我们可以推断这与WordPress主题有关,而且是2018年的最新版本。"fresh"暗示了这是一个新发布的或经过更新的主题集合,可能是为了适应2018年的设计趋势和功能需求。...
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8331
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
python 实验八 数据分析与展示
最新发布
2302_77382298的博客
07-11 279
python 实验八 数据分析与展示
每天一个数据分析题(四百二十三)- 置信区间
shiguangre的博客
07-11 126
内容涵盖Python,SQL,统计学,数据分析理论,深度学习,可视化,机器学习,Spark八个方向的专项练习题库,数据分析从业者刷题必备神器!在给定的显著性水平下,某一特定的X水平上,总体Y分布的离散度越大,即σ^2越大,则。B. 预测区间越宽,预测误差越小。D. 预测区间越窄,预测误差越大。A. 预测区间越宽,精度越低。C. 预测区间越窄,精度越高。
数据分析入门指南Excel篇:各类Excel函数概览与详解(二)
shiguangre的博客
07-08 1236
在当今数字化时代,数据已成为推动业务决策和创新的关键因素。而表格结构数据,作为最常见的数据存储形式之一,广泛应用于财务、物流、电商等多个领域。本文将基于提供的材料文本,深入探讨表格数据的处理与分析,特别是通过Excel等电子表格软件中的函数应用,实现数据的快速查询、统计和分析。
每天一个数据分析题(四百十五)- 线性回归模型
shiguangre的博客
07-08 209
内容涵盖Python,SQL,统计学,数据分析理论,深度学习,可视化,机器学习,Spark八个方向的专项练习题库,数据分析从业者刷题必备神器!线性回归模型中误差项的数学期望为。
数据分析的汇报与观点表达
一峰的技术博客
07-08 1001
基于数据化的表、图、文说明事实表达观点。目的将业务细节转化成数据,借助数据来认知业务,数据表达就可以更好地说明现状,阐述事实,更多情况是论证观点。为什么要基于数据进行表达,三大原则1.客观2.直观3.高效客观直观永远是高效的前提。
2018年美亚杯wp
12-23
2018年美亚杯wp(世界杯预选赛)是一场激动人心的比赛。在这次比赛中,来自美洲和亚洲的国家队齐聚一堂,争夺着参加世界杯的资格。比赛分为几个阶段,包括小组赛、淘汰赛和最终决赛。在小组赛阶段,各个国家队都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值