内存取证CTF-Memlabs靶场2
1.挑战说明
我们公司的一位客户由于未知错误而失去了对其系统的访问权限。 据推测,他是一位非常受欢迎的“环保”活动家。 作为调查的一部分,他告诉我们他的应用程序是浏览器,他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其归还给我们。
注意:此挑战由3个flag组成
靶机地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%202
2.Flag1
2.1 获取操作系统版本
volatility -f MemoryDump_Lab2.raw imageinfo
得到大致操作系统为Win7SP1x64
2.2 查看CMD命令历史使用记录
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdscan
发现进程conhost.exe
,PID为2068和3852
2.3 获取CMD输出
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 consoles
未发现有用信息
2.4 显示进程环境变量-进程3852
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 3852
得到ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9
base64解码后得到flag:flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}
2.5 显示进程环境变量-进程2068
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 2068
与上述2.4完全一致
3.Flag2
3.1 获取IE历史记录
vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 iehistory
得到几个疑似文件Important.rar
、SW1wb3J0YW50.rar
、stAg3_5.txt
、Password.png
、Hidden.kdbx
3.2 文件对象扫描,查看各个敏感文件
vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Password.png
vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Hidden.kdbx
只有Password.png和 Hidden.kdbx能够找到
3.3. 提取图片Password.png
vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ../memlabs
3.4 查看Password.png图片内容
得到一个提示,密码为:P4SSw0rd_123
,但没有拿到flag
3.5 提取文件Hidden.kdbx
vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D ../memlabs
3.6 Hidden.kdbx文件查看
- 文件提示需要密码
- 使用Password.png中的
P4SSw0rd_123
,成功打开文件
- 在Recycle Bin中找到Flag,得到Flag:
flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!}
4.Flag3
4.1 提取Chrome浏览器历史记录
此处使用外部插件chromehistory.py
链接:https://github.com/superponible/volatility-plugins
vol.py --plugins=./plugins -f /root/Desktop/memlabs/MemoryDump_Lab2.raw --profile Win7SP1x64 chromehistory
提取出可疑链接:https://mega.nz/#F!TrgSQQTS!H0ZrUzF0B-ZKNM3y9E76lg
4.2 访问链接并下载Zip文件
4.6 压缩包解压
- 解压缩发现需要密码
- 在注释中找到信息
Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase.
密码为Lab-1中第三阶段Flag的sha1,且为小写
Lab-1第三阶段Flag为:flag{w3ll_3rd_stage_was_easy},对其加密为SHA1,密码为:6045dd90029719a039fd2d2ebcca718439dd100a
4.7 得到Flag值为:flag{oK_So_Now_St4g3_3_is_DoNE!!}
内存取证CTF-Memlabs靶场2相关推荐
- CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
前言 内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息.内存取证通常用于分析计算机系统上运行的进程.网络连接.文件.注册表等信息, ...
- [ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...
- ctf内存取证----easy_dump
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系 ...
- Otterctf 2018 内存取证
CTF 内存取证 https://otterctf.com/challenges 1- What the password? 问题:找到 Rick 的 密码: 先使用 imageinfo 判断系统版本 ...
- linux 内存取证_内存取证工具-volatility、foremost
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
- Volatility2.6内存取证工具安装及入门
Volatility2.6内存取证工具安装及入门Linux和Windows下安装 微信公众号:Geek_Team 1-1. Volatility2.6简介 2-1 Volatility2.6在Linu ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- 苹果内存取证工具volafox
苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...
- 命名空间不能直接包含字段或方法之类的成员_Linux内存取证:解析用户空间进程堆(中)...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图 本 ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
最新文章
- linux docker 目录挂载映射
- web页面到ajax,页面使用ajax加载页面后如果运行其中的js,webpack如何多页面展示...
- Oracle教程之管理表(六)--Oracle外部表的管理
- 网络通信-2(TCP通信、ServerSocket、Socket)
- cpu高对计算机有什么影响吗,CPU损坏对电脑造成哪些影响
- java session 数量_java中使用session监听实现同帐号登录限制、登录人数限制
- ubuntu Mendeley Desktop 安装
- AJAX 事件与事件对象
- [Java] ActionEvent 事件处理
- PV EV AC BAC EAC ETC等计算公式
- linux 定位 踩内存_运维常见问题故障定位,这里总结全了!
- fdisk 创建和维护磁盘分区命令(MBR分区方案)
- 层次分析法-yaahp软件使用
- 浅析海量数据处理问题
- 怎么解决微信屏蔽app下载链接
- 如何用Python挖掘“啤酒和尿布”的关系?(Apriori算法挖掘关联规则)
- 华为服务器磁盘没显示不出来,服务器磁盘读取不了
- 【吾日三省吾身】2015.5.19-慎独、慎言、慎行、戒骄、戒躁、戒怒
- 百度云网盘资源高速下载免登录网页版教程分享
- UG903中文文档分享(拒绝套路) | xilinx