OtterCTF 内存取证(6-9)

Posted z.volcano

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OtterCTF 内存取证(6-9)相关的知识,希望对你有一定的参考价值。

6 - Silly Rick

Silly rick always forgets his email’s password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick’s email password?

提示中说了Rick总是复制粘贴密码,而这题则是要找出密码。

所以这题可以使用clipboard指令导出剪贴板数据

flag:CTFM@il_Pr0vid0rs

7 - Hide And Seek

The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
BEAWARE! There are only 3 attempts to get the right flag!

需要找到恶意软件进程名称(包括扩展名),那就先看一下进程,可以用pstree查看进程树,也可以用userassist查看进程,我这里用pstree(看到了Rick And Morty,hhh)

这里很多常见的进程名,那就挨个看哪个是没见过的,然后导出对应的dll,不过导出来了还是不会判断,就挨个试,然后第一个就试对了

flag:CTFvmware-tray.exe

8 - Path To Glory

How did the malware got to rick’s PC? It must be one of rick old illegal habits…

找到恶意软件怎么进入rick的电脑的,通过上一题知道恶意软件是vmware-tray,直接filescan搜这个文件,没有什么线索。想了一下,恶意软件应该是下载到电脑上的,所以找一下下载文件保存的位置。


接下来就一个个dumpfiles看一下,注意记一下文件名

得到的这些dat数据文件可以挨个strings看一下,最后发现一个可疑的字符串

flag:CTFM3an_T0rren7_4_R!ck

9 - Path To Glory 2

Continue the search after the way that malware got in.

根据提示,继续在恶意软件进入方式上进行搜索,所以总体步骤还是和上题类似。

不过把上题的文件一个个dump出来之后strings找不到flag,所以换个思路,有可能这个flag在外面其他地方。

在上一题搜索文件名时,有如下几个

0x000000007d63dbc0     10      0 R--r-d \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
0x000000007d8813c0      2      0 RW-rwd \\Device\\HarddiskVolume1\\Users\\Rick\\Downloads\\Rick And Morty season 1 download.exe.torrent
0x000000007da56240      2      0 RW-rwd \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
0x000000007dae9350      2      0 RWD--- \\Device\\HarddiskVolume1\\Users\\Rick\\AppData\\Roaming\\BitTorrent\\Rick And Morty season 1 download.exe.1.torrent
0x000000007dcbf6f0      2      0 RW-rwd \\Device\\HarddiskVolume1\\Users\\Rick\\AppData\\Roaming\\BitTorrent\\Rick And Morty season 1 download.exe.1.torrent
0x000000007e710070      8      0 R--rwd \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe

其中重复出现的两个是Rick And Morty season 1 download.exeRick And Morty season 1 download.exe.1.torrent

套用上题的方法,查看这两个字符串前后的字符,在参数扩大到10的时候看到了flag

strings /home/volcano/桌面/volatility/* | grep "Rick And Morty season 1 download.exe.torrent" -A 10 -B 10 


测试后发现要把尾部的Year去掉

flag:CTFHum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in

以上是关于OtterCTF 内存取证(6-9)的主要内容,如果未能解决你的问题,请参考以下文章

OtterCTF 内存取证(10-13)

OtterCTF 内存取证(10-13)

OtterCTF 内存取证(1-5)

OtterCTF 内存取证(1-5)

CTF取证总结(内存取证,磁盘取证)以及例题复现

[内存取证]Volatility基本用法