1.挑战说明

我们公司的一位客户由于未知错误而失去了对其系统的访问权限。据推测，他是一位非常受欢迎的“环保”活动家。作为调查的一部分，他告诉我们他的应用程序是浏览器，他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其归还给我们。

注意：此挑战由3个flag组成

靶机地址：https://github.com/stuxnet999/MemLabs/tree/master/Lab%202

2.Flag1

2.1 获取操作系统版本

volatility -f MemoryDump_Lab2.raw imageinfo

得到大致操作系统为Win7SP1x64

2.2 查看CMD命令历史使用记录

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdscan

发现进程conhost.exe，PID为2068和3852

2.3 获取CMD输出

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 consoles

未发现有用信息

2.4 显示进程环境变量-进程3852

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 3852

得到ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9

base64解码后得到flag：flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}

2.5 显示进程环境变量-进程2068

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 2068

与上述2.4完全一致

3.Flag2

3.1 获取IE历史记录

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 iehistory

得到几个疑似文件Important.rar、SW1wb3J0YW50.rar、stAg3_5.txt、Password.png、Hidden.kdbx

3.2 文件对象扫描，查看各个敏感文件

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Password.png

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Hidden.kdbx

只有Password.png和 Hidden.kdbx能够找到

3.3. 提取图片Password.png

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ../memlabs

3.4 查看Password.png图片内容

得到一个提示，密码为：P4SSw0rd_123，但没有拿到flag

3.5 提取文件Hidden.kdbx

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D ../memlabs

3.6 Hidden.kdbx文件查看

文件提示需要密码

使用Password.png中的P4SSw0rd_123 ,成功打开文件

在Recycle Bin中找到Flag，得到Flag：flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!}

4.Flag3

4.1 提取Chrome浏览器历史记录

此处使用外部插件chromehistory.py 链接：https://github.com/superponible/volatility-plugins

vol.py --plugins=./plugins -f /root/Desktop/memlabs/MemoryDump_Lab2.raw --profile Win7SP1x64 chromehistory

提取出可疑链接：https://mega.nz/#F!TrgSQQTS!H0ZrUzF0B-ZKNM3y9E76lg

4.2 访问链接并下载Zip文件

4.6 压缩包解压

解压缩发现需要密码

在注释中找到信息Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase.
密码为Lab-1中第三阶段Flag的sha1，且为小写

Lab-1第三阶段Flag为：flag{w3ll_3rd_stage_was_easy}，对其加密为SHA1，密码为：6045dd90029719a039fd2d2ebcca718439dd100a

4.7 得到Flag值为：flag{oK_So_Now_St4g3_3_is_DoNE!!}

内存取证CTF-Memlabs靶场2相关推荐

CTF Misc(2)内存取证基础以及原理，覆盖了大部分题型
前言内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息.内存取证通常用于分析计算机系统上运行的进程.网络连接.文件.注册表等信息, ...
[ctf misc][wp]一些内存取证的wp（含[2021蓝帽杯北部赛区分区赛]博人的文件）
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...
ctf内存取证----easy_dump
前一段时间又做了去年护网杯的内存取证题第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系 ...
Otterctf 2018 内存取证
CTF 内存取证 https://otterctf.com/challenges 1- What the password? 问题:找到 Rick 的密码: 先使用 imageinfo 判断系统版本 ...
linux 内存取证_内存取证工具-volatility、foremost
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
Volatility2.6内存取证工具安装及入门
Volatility2.6内存取证工具安装及入门Linux和Windows下安装微信公众号:Geek_Team 1-1. Volatility2.6简介 2-1 Volatility2.6在Linu ...
内存取证之volatility及案例演示
内存取证之volatility及案例演示简介 volatility基础命令案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
苹果内存取证工具volafox
苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...
命名空间不能直接包含字段或方法之类的成员_Linux内存取证：解析用户空间进程堆（中）...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图本 ...
内存取证——volatility命令
文章目录前言常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...

内存取证CTF-Memlabs靶场2

1.挑战说明

2.Flag1

3.Flag2

4.Flag3

内存取证CTF-Memlabs靶场2相关推荐

最新文章

热门文章