BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹吗
题目介绍
这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。
[HDCTF2019]你能发现什么蛛丝马迹吗
下载文件一看就是一个内存取证的题目,我们先看看版本
:volatility.exe -f memory.img imageinfo
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search…
Suggested Profile(s) : Win2003SP0x86, Win2003SP1x86, Win2003SP2x86
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (E:\桌面\CTF工具包[内存取证]volatility\memory.img)
PAE type : PAE
DTB : 0xe02000L
KDBG : 0x8088e3e0L
Number of Processors : 1
Image Type (Service Pack) : 1
KPCR for CPU 0 : 0xffdff000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2019-04-25 08:43:06 UTC+0000
Image local date and time : 2019-04-25 16:43:06 +0800
知道了他是2003sp系统
:volatility.exe -f memory.img --profile=Win2003SP2x86 pslist
Volatility Foundation Volatility Framework 2.6
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit 0x81f8f020 System 4 0 56 319 ------ 0
0xfe2f8448 smss.exe 380 4 3 18 ------ 0 2018-12-07 16:20:54 UTC+0000
0xfe2caa60 csrss.exe 516 380 12 509 0 0 2018-12-07 16:21:00 UTC+0000
0xfe304298 winlogon.exe 580 380 25 504 0 0 2018-12-07 16:21:04 UTC+0000
0xfe2fdd88 services.exe 648 580 16 303 0 0 2018-12-07 16:21:05 UTC+0000
0xfe2e5530 lsass.exe 660 580 38 458 0 0 2018-12-07 16:21:05 UTC+0000
0xfe2f9290 vmacthlp.exe 880 648 1 26 0 0 2018-12-07 16:21:06 UTC+0000
0xfe34d658 svchost.exe 932 648 6 93 0 0 2018-12-07 16:21:07 UTC+0000
0xfde05020 svchost.exe 984 648 10 268 0 0 2018-12-07 16:21:07 UTC+0000
0xfddf4c08 svchost.exe 1040 648 10 138 0 0 2018-12-07 16:21:08 UTC+0000
0xfddeb020 svchost.exe 1072 648 15 168 0 0 2018-12-07 16:21:08 UTC+0000
0xfdde9a70 svchost.exe 1096 648 79 1271 0 0 2018-12-07 16:21:08 UTC+0000
0x81e5a7d0 spoolsv.exe 1668 648 14 151 0 0 2018-12-07 16:21:26 UTC+0000
0xfe7385e8 msdtc.exe 1700 648 16 166 0 0 2018-12-07 16:21:26 UTC+0000
0xfddb7b18 svchost.exe 1800 648 2 54 0 0 2018-12-07 16:21:27 UTC+0000
0xfddb1020 svchost.exe 1848 648 2 37 0 0 2018-12-07 16:21:27 UTC+0000
0xfdda8020 VGAuthService.e 1920 648 2 65 0 0 2018-12-07 16:21:28 UTC+0000
0xfdc6eb18 vmtoolsd.exe 300 648 8 244 0 0 2018-12-07 16:21:36 UTC+0000
0xfe3d5600 svchost.exe 484 648 16 135 0 0 2018-12-07 16:21:40 UTC+0000
0xfe3d4cb0 dllhost.exe 736 648 22 239 0 0 2018-12-07 16:21:41 UTC+0000
0xfe30ed88 dllhost.exe 1052 648 22 236 0 0 2018-12-07 16:21:42 UTC+0000
0xfdc40638 wmiprvse.exe 1368 932 9 215 0 0 2018-12-07 16:21:44 UTC+0000
0xfdc1bb18 explorer.exe 1992 1664 16 386 0 0 2018-12-07 16:21:50 UTC+0000
0xfdc1ad88 vssvc.exe 2040 648 7 112 0 0 2018-12-07 16:21:51 UTC+0000
0xfdbd3418 vmtoolsd.exe 1596 1992 6 166 0 0 2018-12-07 16:22:01 UTC+0000
0xfdbd2110 ctfmon.exe 1840 1992 1 69 0 0 2018-12-07 16:22:01 UTC+0000
0xfdbbc330 conime.exe 1792 1636 1 32 0 0 2018-12-07 16:22:16 UTC+0000
0xfdba5320 wmiprvse.exe 1128 932 8 165 0 0 2018-12-07 16:22:24 UTC+0000
0xfdb90930 wuauclt.exe 2224 1096 5 116 0 0 2018-12-07 16:22:44 UTC+0000
0xfdb6a638 DumpIt.exe 3660 1992 1 26 0 0 2019-04-25 08:43:04 UTC+0000
当中能看到可疑的
0xfdbd2110 ctfmon.exe 1840 1992 1 69 0 0 2018-12-07 16:22:01 UTC+0000
不过创建时间有的久远,我们看看别的,最新的是
0xfdb6a638 DumpIt.exe 3660 1992 1 26 0 0 2019-04-25 08:43:04 UTC+0000
这个东西是一个内存取证的软件
在看看截图
volatility.exe -f memory.img --profile=Win2003SP2x86 screenshot --dump-dir=./
再截图看见,他曾经打开过一个图片叫flag.png
在通过全盘搜索,导出图片
volatility -f memory.img --profile=Win2003SP2x86 filescan|grep flag
这一条是在内存文件中寻找带有flag的文件volatility -f memory.img --profile=Win2003SP2x86 dumpfiles -Q 0x000000000484f900 -D ./ -u
根据内存地址取出文件
jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
这是扫描出来的东西
我们来看一下这期间,打开过什么软件
volatility -f memory.img --profile=Win2003SP2x86 windows
找到一个关于flag的他当时使用了explorer软件这是一个文件资源器,然后我们看懂了PID:1992 下载一下
volatility -f memory.img --profile=Win2003SP2x86 memdump -p 1992 -D ./
我们分离一下发现了,
密文:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
key: Th1s_1s_K3y00000
iv: 1234567890123456
到这里为止我们得到了这个,我们知道了是aes
flag{F0uNd_s0m3th1ng_1n_M3mory}
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹吗相关推荐
- BuuCTF难题详解| Misc | VN 2020 公开赛 内存取证
题目介绍 这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加. BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证 P1 我们使用volat ...
- BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗 打开一个镜像文件 分析镜像,看一下文件的profile值,确定内存镜像的版本 volatility -f memory.img ...
- 数学难题html5小游戏答案,高中五星级题库数学答案及难题详解(第5版).pdf
. 一 函数 1 1.集合与常用逻辑用语 1 2.函数的概念与性质 3 3.指数函数与对数函数 11 4.函数的综合问题 17 5.导数的概念与应用 29 . 二 三角函数 52 1.任意角的三角函数 ...
- Bugku 可爱的故事 详解 MISC
Bugku MISC 可爱的故事 一.题目 二.思路 三.复现 四.总结 我会不定时更新bugku的题目,和大家共同学习,披荆斩棘.日拱一卒,你的付出,终将使你强大.希望大家喜欢,多多点赞收藏谢谢. ...
- Bugku where is flag 番外篇 详解 MISC
文章目录 一.题目 二.思路 1.解压所有文件 2.密码的获取 三.复现 1.获取密码 2.解压:出师表.rar 3.使用winhex或者notepad++查看. 4.对获取到的数据进行解码. 四.总 ...
- Bugku 白哥的鸽子详解 MISC
Bugku 白鸽的哥字 MISC 一.题目 二.思路 三.复现 四.总结 一.题目 二.思路 点击下载,是一张jpg的图片. 按照处理图片题的思路来 查看属性中的详细信息. 用winhex打开,查看信 ...
- Bugku 宽带信息泄露 详解 MISC
宽带信息泄露 一.题目 二.思路 三.复现 四.总结 我会不定时更新bugku的题目,和大家共同学习,披荆斩棘.日拱一卒,你的付出,终将使你强大.希望大家喜欢,多多点赞收藏谢谢. 一.题目 点击下载后 ...
- BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗
https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B% ...
- 一文详解 Kubernetes 中的服务发现,运维请收藏
K8S 服务发现之旅 Kubernetes 服务发现是一个经常让我产生困惑的主题之一.本文分为两个部分: 网络方面的背景知识 深入了解 Kubernetes 服务发现 要了解服务发现,首先要了解背后的 ...
最新文章
- Gradle的安装和在idea的配置
- 隐知识:reloadData 方法之后,view并不会立即更新其contentSize
- Facebook使用机器学习手段来自动优化其系统性能
- 2017年 1月 15日 指针 学习整理
- fx2n4ad模块中文手册_三菱特殊模块FX2N-4AD-PT详细说明及编程应用
- 平安 开源 数据库 实践_自举开源业务的3个最佳实践
- 学习 WebService 第五步:在Local创建测试用WebService(WSDL)
- java链表实现二叉树_Java 实现链表、二叉树的一些问题
- C#在foreach中重用变量是否有原因?
- 二层协议--LACP协议总结
- 网络调试助手无法连接tcp服务器,W5500 TCP 客户端网络调试助手连不上
- dubbo学习:2小时入手RPC框架Dubbo分布式服务调度(一)
- 苹果上传闪退 php,怎样解决iPhone程序闪退问题
- Python爬虫爬企查查数据
- 使用certbot工具制作免费https证书
- 008 计算某一日是这一年的第几天
- JavaWeb的jsp文件EL表达式简写优先级
- JavaScript实现购物车计算价格功能
- 【Python 跟书学习笔记】
- 查看matlab当前路径,Matlab 如何查找当前路径下文件夹