内存取证三项CTF学习

Posted wrnan

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了内存取证三项CTF学习相关的知识,希望对你有一定的参考价值。

题目附件:

链接:https://pan.baidu.com/s/1fH4Zdd-snG047boRwWAGYQ
提取码:8t96

题目描述

一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。 
1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

1、分析镜像:

volatility -f L-12A6C33F43D74-20161114-125252.raw imageinfo

2、查看进程:

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 pslist

列出可疑进程:

  • explorer.exe 1416
  • notepad.exe 280
  • cmd.exe 1568
  • nc.exe 120
  • DumpIt.exe 392

3、用notepad插件列出记事本的内容:

volatility notepad -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86

技术图片
hex转ascii。
4、用cmdscan提取cmd历史记录:

volatility cmdscan -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86

技术图片
看到小黑用nc命令向192.168.57.14 2333发送了一个zip压缩包
提取zip压缩包:

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 filescan | grep "P@ssW0rd_is_y0ur_bir7hd4y.zip"
volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 --dump-dir=./

发现压缩包需要密码
5、要获取用户的账户密码的话,学到用hashdump插件把hash值提取出来:
volatility hashdump -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86
得到:

Administrator:500:1e27e87bd14ec8af43714428b303e3e4:1e581aafa474dfadfdf83fc31e4fd4ea:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:687255e91a0f559b6d75553dbd51f785:b6125736bdd2d5f154fdce59f52e39f1:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:fb41f8d1334fba131974c39bfab09512:::

彩虹表下载地址(https://ophcrack.sourceforge.io/tables.php)

技术图片

试了几个表,都没跑出来,还好XP special跑出了最后关键的部分。

最后小白的出生日期就是zip的解压密码。

参考链接:
https://www.freebuf.com/news/145262.html
https://www.cnblogs.com/p20050001/p/11892766.html
https://blog.csdn.net/dmbjzhh/article/details/79425483

以上是关于内存取证三项CTF学习的主要内容,如果未能解决你的问题,请参考以下文章

CTF内存取证

CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)

[内存取证]Volatility基本用法

OtterCTF 内存取证(1-5)

OtterCTF 内存取证(1-5)

有关流量分析和内存取证的