CTF 内存取证

https://otterctf.com/challenges

1- What the password?

问题：找到 Rick 的密码：
先使用 imageinfo 判断系统版本。
vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem imageinfo

提到密码会想到三个参数； hashdump, lasdump ,mimikatz（此插件手动安装）
vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 hashdump

第二个hash值就是密码，md5解密看运气了，可以彩虹表解密。

vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 lsadump

如图所示得到了密码

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 mimikatz

如图所示：得到了用户名，主机名，密码、
因此

flag

CTF{MortyIsReallyAnOtter}

2 - General Info

题目要求：得到主机名和IP地址。
说到主机名，在上一题中使用 mimikatz 查看密码时已经得到了，
或者:
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 hivelist

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 printkey -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName"

因此

flag

CTF{WIN-LO6FAF3DTFE}

说到 IP 地址，会联想到 netscan (会将网络的连接情况打印出来)
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 netscan

这一看就是一个C段的IP地址。因此

flag

CTF{192.168.202.131}

3 - Play Time

题目说：Rick 在玩一个老游戏，让我们找到游戏名称和 IP 地址。
同样使用 netscan 我们会发现一个名为: LunarMS.exe 的程序，经百度这是一个游戏。

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 netscan

77.102.199.102 就是服务器IP地址。因此

flag:

CTF{77.102.199.102}
CTF{LunarMS}

4 - Name Game

题目描述：我们知道这个帐号登录到了一个名为Lunar-3的频道。账户名是什么？
猜想：既然登陆了游戏，我们尝试直接搜索镜像中的字符串 Lunar-3 。

先使用 strings重定向到文本中。时间有点儿久，耐心等待。
strings OtterCTF.vmem > OtterCTF.vmem.strings
cat OtterCTF.vmem.strings | grep -C 10 "Lunar-3"
C 10 前后10行

如图所示：得到了账户名： 0tt3r8r33z3（好奇怪的名称）,因此

flag

CTF{0tt3r8r33z3}

5 - Name Game 2

题目描述：通过一些研究，我们发现登录角色的用户名总是在这个签名之后（
0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} ）：rick的角色的名字是什么？

先将 LunarMS.exe dump 下载,使用 pslist ,pstree, psscan 均可查看到它的进程IP
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 pslist

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 memdump -p 708 -D ./

根据题目要求查找: 0x5a 0x0c 0x00 0x00, 可以使用 winhex, 010Editor,或者 linux 中的 hexdump 查看。

如图所示：搜索到： M0rtyLOL

flag

CTF{M0rtyLOL}

6 - Silly Rick

题目描述：愚蠢的里克总是忘记他的电子邮件密码，所以他使用在线存储密码服务来存储他的密码。他总是复制并粘贴密码，这样他就不会弄错。瑞克的电子邮件密码是什么？

关键词：复制粘贴，那么复制内容会存在到剪贴板中 : clipboard

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 clipboard

如图所示：得到了剪贴板中的内容： M@il_Pr0vid0rs

flag

CTF{M@il_Pr0vid0rs}

7 - Hide And Seek

题目描述：我们把rick的电脑内存转储是因为有恶意软件感染。请查找恶意软件进程名称（包括扩展名）
BEAWARE！只有三次尝试才能得到正确的旗帜！
ok 要求我们找出恶意软件进程名称

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 pslist
仔细观察会发现有一些进程名称叫 Rick and Morty, Bittorrent, 看到这两个字眼大家应熟悉吧，BT 种子，瑞克and莫提（漂亮国的动漫），因此我们可以猜测中毒的过程：某某在网上下载了种子，结果种子中有问题从而导致中病毒。
说了这么多就是 ”下片儿嘛！“。懂得都懂！

最终答案： vmware-tray.exe
其实这道题完全能够靠猜测。只要是可疑的都试一试。

flag

CTF{vmware-tray.exe}

8 - Path To Glory

题目描述：恶意软件是如何进入里克的电脑的？这一定是瑞克以前的一个非法习惯。。。
简单来说就是Rick下片儿导致电脑中毒。重点放在BT种子上面。而且下载到电脑上了。
我们搜一下 Rick And Morty

python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 filescan | grep "Rick And Morty"

六条数据，都导出来看看，最后发现将第四条导出来放入 010Editor 中发现特殊的字眼：
python2 vol.py -f /mnt/f/Forensics&Network/Forensics/otterctf/What_the_password/OtterCTF/OtterCTF.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D ./

得到：M3an_T0rren7_4_R!ck

flag

CTF{M3an_T0rren7_4_R!ck}

9 - Path To Glory 2

题目描述：在恶意软件进入后继续搜索。

32-1648435991720)]
得到：M3an_T0rren7_4_R!ck

flag

CTF{M3an_T0rren7_4_R!ck}

9 - Path To Glory 2

[外链图片转存中…(img-3lP0y6ze-1648435991720)]

题目描述：在恶意软件进入后继续搜索。

未完待续…………

Otterctf 2018 内存取证相关推荐

苹果内存取证工具volafox
苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...
命名空间不能直接包含字段或方法之类的成员_Linux内存取证：解析用户空间进程堆（中）...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图本 ...
内存取证——volatility命令
文章目录前言常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
[2021首届“陇剑杯”网络安全大赛决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了文章目录 [2021首届"陇剑杯"网络安全大赛决赛]内存取证 writeup 产品密钥匿名邮箱远控后门数据清除时间 [ ...
内存取证常见例题思路方法-volatility (没有最全只有更全)
目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...
浅析Volatility内存取证
内存取证 Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统 Volatility是一款开源内存取证框架 ...
基于内存取证进行stuxnet 病毒分析（上）
基于内存取证进行stuxnet 病毒分析(上) stuxnet病毒翻译过来又叫震网病毒,是美国针对伊朗核电站进行的有组织开发的恶意病毒.主要是利用Windows操作系统未被发现的四个漏洞,可以通过U盘 ...
[ctf misc][wp]一些内存取证的wp（含[2021蓝帽杯北部赛区分区赛]博人的文件）
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...
内存取证神器Volatility常用指令大全
内存取证神器Volatility常用指令大全具体指令开头部分根据Volatility版本做修改即可查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...

Otterctf 2018 内存取证

CTF 内存取证

1- What the password?

flag

2 - General Info

flag

flag

3 - Play Time

flag:

4 - Name Game

flag

5 - Name Game 2

flag

6 - Silly Rick

flag

7 - Hide And Seek

flag

8 - Path To Glory

flag

9 - Path To Glory 2

flag

9 - Path To Glory 2

Otterctf 2018 内存取证相关推荐

最新文章

热门文章