陇剑杯-内存分析wp

  • A+
所属分类:CTF专场

6 内存分析

题目描述

网管小王制作了一个虚拟机文件,让您来分析后作答:

6.1

虚拟机的密码是_____。(密码中为flag{xxxx},含有空格,提交时不要去掉)

解:

使用volatility加载mimikatz插件直接读密码

下载mimikatz插件

wget https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py

将mimikatz插件复制到volatility的插件目录

cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/

陇剑杯-内存分析wp

获取登录密码

# 查看镜像信息
volatility -f Target.vmem imageinfo
# 使用mimikatz跑密码
volatility -f Target.vmem --profile=Win7SP1x64 mimikatz

陇剑杯-内存分析wp

或者不用mimikatz

volatility -f Target.vmem --profile=Win7SP1x64 lsadump

陇剑杯-内存分析wp

flag

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

6.2

虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_____。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)

解:

filescan扫描文件

volatility -f Target.vmem --profile=Win7SP1x64 filescan

在CTF用户的桌面发现手机的备份文件

0x000000007fe72430      2      0 -W-r-- DeviceHarddiskVolume1UsersCTFDesktopHUAWEI P40_2021-aa-bb xx.yy.zzpicturestorageMediaTarimagesimages0.tar.enc

陇剑杯-内存分析wp

将文件提取出来

volatility -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 -D /root/桌面/dmp/

陇剑杯-内存分析wp

由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件,只有一个images0.tar.enc是不行的。

我找到了另一个文件

0x000000007d8c7d10      4      0 R--r-d DeviceHarddiskVolume1UsersCTFDesktopHUAWEI P40_2021-aa-bb xx.yy.zz.exe

提取出来的文件是符合需求的

陇剑杯-内存分析wp

使用360压缩工具查看file.None.0xfffffa80037e0af0.dat文件,里面就是我们需要的内容

陇剑杯-内存分析wp

解密工具

https://github.com/RealityNet/kobackupdec

工具一把梭,解密的密码按照前面txt提示把flag内容空格换成下划线,后面写文件夹的路径,再后面写导出文件的路径,导出文件的路径要写一个新的backup,工具会自动创建新的backup目录 将文件放进里面

python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "D:filework2HUAWEI P40_2021-aa-bb xx.yy.zz" D:filework2rbackup

陇剑杯-内存分析wp

执行完毕,文件已经创建了

陇剑杯-内存分析wp

images0.tar.enc变成了images0.tar

解压获取图片

陇剑杯-内存分析wp


flag

flag{TH4NK Y0U FOR DECRYPTING MY DATA}



本文始发于微信公众号(亿人安全):陇剑杯-内存分析wp

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: