点击蓝字 关注我们 /宸极实验室
日期:2023-05-17 作者:yukong 介绍:记录 CTF中的一次取证分析。
0x00 前言
之前CTF比赛或者培训要么使用Volatility工具对镜像文件分析或者使用RStudio软件恢复文件,找到删除的flag都比较常见,这次题目需要二者配合使用效果更佳,感觉比较典型简单记录一下。
0x01 题目介绍
题目内容:小智在使用windows系统时突发故障,导致桌面的重要文件丢失,你能帮它恢复数据吗?
文件格式:Memory_attachment.vmem
简单分析:题目给到的是一个镜像文件,并且告诉我们桌面丢失了重要文件,猜测需要使用软件加载镜像恢复丢失的文件。
0x02 解题过程
通过题目我们容易地能够想出需要使用软件恢复丢失的文件,常使用恢复文件的工具RStudio。
2.1 RStudio 使用
(1)打开RStudio。
(2)选择全部文件,加载镜像文件。
(3)扫描镜像文件,扫描完成后会显示两个磁盘文件。
(4)打开原始文件,搜索可能存在提示信息或者flag的文件,通常我们会搜索txt、zip、rar、7z。
(5)可以看到已经搜索到一个7z的压缩包以及很多txt文件,下载查看后txt文件内没有什么有用信息,但是压缩包打开后发现存在flag.txt打开需要密码。结果如下。
(6)翻看所有txt文件都没有找到密码,于是想到去Recognized0磁盘中搜索已经被删除的文件,查看有没有提示信息。
发现桌面已经被删除的文件中,提示告诉我们压缩密码和用户名为chuagnanbei的登录密码相同。
此处引出另外一个镜像取证工具Volatility,需要通过Volatility加载镜像读取用户密码。
2.2 Volatility 使用
下载地址:https://github.com/volatilityfoundation/volatility
(1)使用Volatility查看镜像平台,支持该镜像的平台如下。
vol.py -f Memory_attachment.vmem imageinfo
(2)加载镜像平台,通过打印注册表查看该镜像系统存在的用户。
vol.py -f Memory_attachment.vmem --profile=Win7SP1x64 printkey -K "SAMDomainsAccountUsersNames"
可以看到存在chuagnanbei用户,需要找到该用户的登录密码。
(3)打印内存中帐户密码哈希。
└─$ vol.py -f Memory_attachment.vmem --profile=Win7SP1x64 hashdump
拿到hash值之后,保存为shadow文件使用john爆破密码。
(4)使用john爆破chuagnanbei的密码。
john shadow --format=NT
爆破成功密码为caoyang。
(5)解压flag.txt拿到flag。
0x03 总结
以上就是这次题目的简记,题目不算难但所到的工具比较经典。
Volatility在取证中是个神器,用法多样比如查看进程、查看历史命令、查看剪切板、获取IE浏览器历史记录等等。
RStudio也可以在数据恢复,查看删除文件的题目中手到擒来,可以进一步研究、学习使用。
宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。
团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。
原文始发于微信公众号(宸极实验室):『CTF』记一次取证分析题目
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论