OtterCTF 内存取证(6-9)
Posted z.volcano
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OtterCTF 内存取证(6-9)相关的知识,希望对你有一定的参考价值。
6 - Silly Rick
Silly rick always forgets his email’s password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick’s email password?
提示中说了Rick总是复制粘贴密码,而这题则是要找出密码。
所以这题可以使用clipboard
指令导出剪贴板数据
flag:CTFM@il_Pr0vid0rs
7 - Hide And Seek
The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
BEAWARE! There are only 3 attempts to get the right flag!
需要找到恶意软件进程名称(包括扩展名),那就先看一下进程,可以用pstree
查看进程树,也可以用userassist
查看进程,我这里用pstree(看到了Rick And Morty,hhh)
这里很多常见的进程名,那就挨个看哪个是没见过的,然后导出对应的dll,不过导出来了还是不会判断,就挨个试,然后第一个就试对了
flag:CTFvmware-tray.exe
8 - Path To Glory
How did the malware got to rick’s PC? It must be one of rick old illegal habits…
找到恶意软件怎么进入rick的电脑的,通过上一题知道恶意软件是vmware-tray,直接filescan搜这个文件,没有什么线索。想了一下,恶意软件应该是下载到电脑上的,所以找一下下载文件保存的位置。
接下来就一个个dumpfiles看一下,注意记一下文件名
得到的这些dat数据文件可以挨个strings看一下,最后发现一个可疑的字符串
flag:CTFM3an_T0rren7_4_R!ck
9 - Path To Glory 2
Continue the search after the way that malware got in.
根据提示,继续在恶意软件进入方式上进行搜索,所以总体步骤还是和上题类似。
不过把上题的文件一个个dump出来之后strings找不到flag,所以换个思路,有可能这个flag在外面其他地方。
在上一题搜索文件名时,有如下几个
0x000000007d63dbc0 10 0 R--r-d \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
0x000000007d8813c0 2 0 RW-rwd \\Device\\HarddiskVolume1\\Users\\Rick\\Downloads\\Rick And Morty season 1 download.exe.torrent
0x000000007da56240 2 0 RW-rwd \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
0x000000007dae9350 2 0 RWD--- \\Device\\HarddiskVolume1\\Users\\Rick\\AppData\\Roaming\\BitTorrent\\Rick And Morty season 1 download.exe.1.torrent
0x000000007dcbf6f0 2 0 RW-rwd \\Device\\HarddiskVolume1\\Users\\Rick\\AppData\\Roaming\\BitTorrent\\Rick And Morty season 1 download.exe.1.torrent
0x000000007e710070 8 0 R--rwd \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
其中重复出现的两个是Rick And Morty season 1 download.exe
和Rick And Morty season 1 download.exe.1.torrent
套用上题的方法,查看这两个字符串前后的字符,在参数扩大到10的时候看到了flag
strings /home/volcano/桌面/volatility/* | grep "Rick And Morty season 1 download.exe.torrent" -A 10 -B 10
测试后发现要把尾部的Year去掉
flag:CTFHum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in
以上是关于OtterCTF 内存取证(6-9)的主要内容,如果未能解决你的问题,请参考以下文章