内存取证CTF-Memlabs靶场1
1.挑战说明
我姐姐的电脑坏了。 我们非常幸运地恢复了这个内存转储。 你的工作是从系统中获取她所有的重要文件。 根据我们的记忆,我们突然看到一个黑色的窗口弹出,上面有一些正在执行的东西。 崩溃发生时,她正试图画一些东西。 这就是我们从崩溃时所记得的一切。
注意:此挑战由 3 个flag组成。
靶机地址:MemLabs/Lab 1 at master · stuxnet999/MemLabs · GitHub
2.Flag1
2.1 获取镜像操作系统版本
volatility -f MemoryDump_Lab1.raw imageinfo
2.2 获取CMD命令使用情况
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdscan
2.3 获取CMD输出
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles
2.4 使用base64解码,得到第一个flag
echo 'ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=' |base64 -d
获取到flag:flag{th1s_1s_th3_1st_st4g3!!}
3.Flag2
3.1 分析进程信息
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist
3.2 进程数据保存
mspaint.exe 为windows自带画图工具,为PID 2424的mspaint.exe程序以dmp格式保存出来
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D /root/Desktop/memlabs
3.3 文件调整格式
mv 2424.dmp 2424.data
3.4 图片提取
使用gimp打开图片文件
gimp 2424.data
3.5 调整图像数值
设置宽度和高度及位移度,使图片文字清晰可见
3.6 图像变换
竖直翻转,并旋转180度
3.7 获取到flag
获取到flag值为:flag{good_boy_good_girl}
4.Flag3
4.1 获取命令行下运行的程序cmdline
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline
4.2 检索文件
文件保存在\Alissa Simpson\Documents\目录下
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan |grep "Important.rar"
4.3 dumpfiles提取文件
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D /root/Desktop/memlabs
4.4 修改文件后缀
mv file.None.0xfffffa8001034450.dat file.None.0xfffffa8001034450.rar
4.5 解压
使用压缩工具进行尝试解压,注释中提示解压密码为 Alissa的NTLM hash值(大写)
4.6 使用hashdump获取hash值
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump
获取到Alissa的HASH为:f4ff64c8baac57d22f22edc681055ba6,转换为大写:F4FF64C8BAAC57D22F22EDC681055BA6
4.7 获取flag
使用上述密码解压file.None.0xfffffa8001034450.rar文件,得到文件:flag3.png
flag为:flag{w3ll_3rd_stage_was_easy}
内存取证CTF-Memlabs靶场1相关推荐
- CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
前言 内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息.内存取证通常用于分析计算机系统上运行的进程.网络连接.文件.注册表等信息, ...
- [ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...
- ctf内存取证----easy_dump
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系 ...
- Otterctf 2018 内存取证
CTF 内存取证 https://otterctf.com/challenges 1- What the password? 问题:找到 Rick 的 密码: 先使用 imageinfo 判断系统版本 ...
- linux 内存取证_内存取证工具-volatility、foremost
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
- Volatility2.6内存取证工具安装及入门
Volatility2.6内存取证工具安装及入门Linux和Windows下安装 微信公众号:Geek_Team 1-1. Volatility2.6简介 2-1 Volatility2.6在Linu ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- 苹果内存取证工具volafox
苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...
- 命名空间不能直接包含字段或方法之类的成员_Linux内存取证:解析用户空间进程堆(中)...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图 本 ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
最新文章
- C++Primer学习——函数
- KVM中virtio、vhost 和vhost-user比较(十一)
- idea2019的安装与激活
- VC++ 鼠标非显示区域命中测试消息WM_NCHITTEST和相关编程问题学习1
- coursera 《现代操作系统》 -- 第十周 文件系统(2)
- iOS8 用AVAudioPlayer播放音乐(Swift)
- Cannot open include file: jni.h: No such file or directory解决方法
- 软件测试测试 python_Python测试简介
- 启科量子加速商业化:量子通信为「盾」,量子计算为「矛」
- Ubuntu16.04安装ROS Kinetic详细过程
- 快压、360压缩、WinRAR关于打开快压通过超高压缩比压缩后的文件不兼容的问题
- php支付宝查询对账单下载地址,对账单下载 · 移动支付刷脸付API接口开发文档 · 看云...
- 中国电信“公板”计划主攻中端市场
- python 爬虫-养生之道
- echarts折线图曲线,每个值上面添加小圆点或者小圆圈
- fprintf()函数的使用
- 如何创新与加强个人领导力
- 智慧城市发展概况及其范畴
- 计算机专业可以进厂么,计算机研究生毕业进入工厂工作,月薪只有四千,原因实在太真实了...
- 关于xxxxxxRepository.search()方法一个分页的小陷阱