2019护网杯baby_forensic

Posted wkzb

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2019护网杯baby_forensic相关的知识,希望对你有一定的参考价值。

题目名称:baby_forensic
题目描述:can you catch the flag?
附件:“data.7z”

2019护网杯初赛的一道取证题,比赛时没做出来,赛后又研究了一下。

 

获取profile的类型,因为不同的系统数据结构不一样,所以需要用--profile=来指定。

这里自动猜解可能的系统类型,一般情况下第一个是正确的,如果不对每个都试一下。

volatility -f /root/data.vmem imageinfo

技术图片

 

列出所有的进程

volatility -f /root/data.vmem --profile=WinXPSP2x86 pslist

psxview可以查看隐藏进程

技术图片

 

将内存中的某个进程数据以dmp的格式保存出来

volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

可以用strings工具打印字符串或者用编辑器打开

 

列举缓存在内存的注册表

volatility -f /root/data.vmem --profile=WinXPSP2x86 hivelist

技术图片

 

hivedump 打印出注册表中的数据

volatility -f mem.vmem --profile=WinXPSP2x86 hivedump -o 注册表的virtual地址

 

获取SAM表中的用户

volatility -f /root/data.vmem --profile=WinXPSP2x86 printkey -K "SAMDomainsAccountUsersNames"

技术图片

 

提取内存中保留的cmd命令使用情况

volatility -f /root/data.vmem --profile=WinXPSP2x86  cmdscan

技术图片

提示hill_matrix 3,2,2,9,7,7,6,4,9

 

filescan查看文件,grep搜索关键词

volatility -f /root/data.vmem --profile=WinXPSP2x86 filescan | grep 桌面

技术图片

 

利用dumpfiles提取filescan的文件

volatility -f /root/data.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x0000000001873e40 --dump-dir=/root

技术图片

 技术图片

 

重命名为disk.zip,解压后是一个img镜像

进行binwalk分析

binwalk disk.img

技术图片

 

只是一个镜像文件,使用mount命令挂载一下,新建一个命名为1的文件夹(umount /root/disk.img命令卸载)

mount disk.img ./1

打开文件发现是usb流量包

技术图片

 

 wireshark打开后看到Protocol为USB协议,搜索关于usb流量分析的文章

技术图片

 

USB协议的数据部分在Leftover Capture Data域之中,在Mac和Linux下可以用tshark命令可以将 leftover capture data单独提取出来

tshark -r /root/1/usb.pcapng -T fields -e usb.capdata > usbdata.txt

第一次运行报错

技术图片

解决方法:

1.cd /usr/share/wireshark

2.init.lua用文本编辑器打开。

3.更改disable_lua = false到disable_lua = true。

运行成功,主目录生成usbdata.txt文件

技术图片

 

 查看usbdata.txt 发现数据包长度为八个字节

技术图片

 

查资料知道USB流量分为键盘流量和鼠标流量。

键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次key stroke都会产生一个keyboard event usb packet。

鼠标数据包的数据长度为4个字节,第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。

这里数据包长度是八个字节显然为键盘数据包。

 

网上查找USB协议的文档,可以找到这个值与具体键位的对应关系,根据这个映射表有脚本能解码得出数据包。

脚本如下:

mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"", 0x32:"~", 0x33:";",  0x34:"", 0x36:",",  0x37:"." }
nums = []
keys = open(usbdata.txt)
for line in keys:
    if line[0]!=0 or line[1]!=0 or line[3]!=0 or line[4]!=0 or line[9]!=0 or line[10]!=0 or line[12]!=0 or line[13]!=0 or line[15]!=0 or line[16]!=0 or line[18]!=0 or line[19]!=0 or line[21]!=0 or line[22]!=0:
         continue
    nums.append(int(line[6:8],16))
    # 00:00:xx:....
keys.close()
output = ""
for n in nums:
    if n == 0 :
        continue
    if n in mappings:
        output += mappings[n]
    else:
        output += [unknown]
print(output :n + output)

因为不是正常字符会输出[unknown],影响找字符串,看情况修改为空格。

提示为:‘WYTXRXORCQDH‘.HILLDECODE

技术图片

 

显然3,2,2,9,7,7,6,4,9是希尔密码加密矩阵,WYTXRXORCQDH是密文

希尔密码解密即可。

https://www.dcode.fr/hill-cipher

技术图片

flag{SPVZPLEBASMV}

以上是关于2019护网杯baby_forensic的主要内容,如果未能解决你的问题,请参考以下文章

[护网杯 2018]easy_tornado

[护网杯 2018]easy_tornado

护网杯一道密码学的感想

2018护网杯easy_tornado(SSTI tornado render模板注入)

[护网杯2018]easy_tornado

护网杯 2018 easy_tornado 1BUUCFT模板注入