DIDCTF-2023蓝帽杯-内存

admin 2025年1月30日02:16:35评论4 views字数 3781阅读12分36秒阅读模式

前言

DIDCTF里面的2023蓝帽杯,由于工具限制,只能做MISC和内存取证题目。

MISC

1、ez_Forensics

单纯的取证

查看历史命令,这里列出了其中的两个感觉有用的命令:

λ python2 vol.py --plugin=volatility_plugin -f C:UsersAdministratorDesktopmisc-mem.raw --profile=Win7SP1x64 cmdline
Command line : "C:Windowssystem32NOTEPAD.EXE" C:UsersS2zzDesktopreadme.txt
Command line : "C:Program FilesWinRARWinRAR.exe" -iext "C:UsersS2zzDesktoptable.zip"

把这两个文件提取出来看看:

DIDCTF-2023蓝帽杯-内存

明文攻击呀,压缩包里有个readme.txt,外面也有个readme.txt

但是两个文件文件的CRC32不一样,这肯定无法进行明文攻击,用editbox恢复一下readme.txt的内容:

DIDCTF-2023蓝帽杯-内存

圈住的才是readme.txt的内容,把内容改成这个,再次查看crc32:

DIDCTF-2023蓝帽杯-内存

CRC32一致了,开始攻击:这里注意一下readme.txt压缩时压缩方式要选择存储,否则无法成功攻击!

DIDCTF-2023蓝帽杯-内存
DIDCTF-2023蓝帽杯-内存

解压后得到table,但是没有后缀,不知道是什么,我们扔到010中看看文件头:

DIDCTF-2023蓝帽杯-内存

80504E47,这是PNG文件,把后缀改成PNG,看一下:

DIDCTF-2023蓝帽杯-内存

一个4*4的方格,想想吧…………

DIDCTF-2023蓝帽杯-内存

看起来像个密钥,那么密文在哪?

查看consoles,看到了密文:SECRET=U2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=

那么加密方式是什么呢,也没说……让自己猜么

而且也没有密钥,前边拿到的图片也不知道有什么用,再找找别的吧……

又回去看了一遍扫出来的文件列表,发现了这个文件:

0x000000007d4b8d20     15      0 R--rw- DeviceHarddiskVolume2UsersS2zzDesktopkey.rsmr

导出来了,但是不知道是个什么,用记事本打开发现第一行内容是:

DIDCTF-2023蓝帽杯-内存

鼠标记录文件,还给了地址,去这个网站上把工具下载了下来,把这个文件导入了进去:

链接:https://www.robot-soft.com/MouseRecorder.exe

DIDCTF-2023蓝帽杯-内存

点击Repeat鼠标就开始自己动了。这回算是明白他给的上面那个16宫格是干什么了,打开这个图片,再用这个工具让鼠标动起来,应该就会点某些格子,点到的就是密码,那还要认真看了:a91e37bf

DIDCTF-2023蓝帽杯-内存

接下来就解密了,但是不知道加密算法呀……自己猜?

实在猜不到,去看了writeup知道了是AES:

https://www.sojson.com/encrypt_aes.html
DIDCTF-2023蓝帽杯-内存

得到了明文:part2: 3a-f140-2626195942a0} the other part is in the password

竟然还只是一部分flag,另一部分在password中……

没找到另一半,在网上看了一圈都是用的passwarekit一键提取了flag……工具题呗,那没什么意思了

DIDCTF-2023蓝帽杯-内存

直接拿图了:flag{194a019a-1767-91

最后拼在一起,完整的flag就是:flag{194a019a-1767-913a-f140-2626195942a0}

内存取证

1、内存取证-1

请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]

python2 vol.py --plugin=volatility_plugin -f C:UsersAdministratorDesktopmemdump.mem imageinfo

DIDCTF-2023蓝帽杯-内存

创建时间一看看到了:2023-06-20 17:02:27 UTC+0000

但是UTC+0000可不是北京时间,所以要加上8小时,标准答案就是:2023-06-21 01:02:27

2、内存取证-2

请给出计算机内用户yang88的开机密码?[答案格式:abc.123]

python2 vol.py --plugin=volatility_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 hashdump

DIDCTF-2023蓝帽杯-内存

yang88:1000:aad3b435b51404eeaad3b435b51404ee:46e5597f00c98ae6cf3917b07bcc00be:::

DIDCTF-2023蓝帽杯-内存

只能动用特殊手段了:3w.qax.com

3、内存取证-3

提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]

λ python2 vol.py --plugin=.volatility2_pluginJamesHall_KevinBreen -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 usbstor

DIDCTF-2023蓝帽杯-内存

同样加上8小时: 2023-06-21 01:01:25

4、内存取证-4

请给出用户yang88的LMHASH值?[答案格式:字母小写]

送分题,还是第二题拿到的hash值:

yang88:1000:aad3b435b51404eeaad3b435b51404ee:46e5597f00c98ae6cf3917b07bcc00be:::
1、用户名:yang88,这是该用户账户的名称。
2、RID(相对标识符):1000 ,RID 用于在安全账户管理器(SAM)数据库中唯一标识用户账户。在 Windows 系统中,某些特殊的 RID 具有特定含义,1000 通常是普通用户的 RID 起始值 。
3、LM 哈希值:aad3b435b51404eeaad3b435b51404ee ,这是 LAN Manager 哈希值,由于 LM 哈希算法存在安全缺陷,现在主要用于兼容旧系统。此处该值为固定值 aad3b435b51404eeaad3b435b51404ee,这表明该账户禁用了 LM 哈希计算(当用户密码超过 14 个字符或者系统策略禁用 LM 哈希时,会显示此固定值)。
4、NTLM 哈希值:46e5597f00c98ae6cf3917b07bcc00be ,这是 NT LAN Manager 哈希值,它是基于用户密码的 Unicode 表示计算得出的,相比 LM 哈希更为安全,常用于 Windows 系统的身份验证过程。
5、后面的两个冒号(:::):这部分内容在不同场景下可能有不同用途,在这里它们可能是占位符,没有特定含义。在某些情况下,冒号分隔符之后可能会跟有其他信息,例如用户的配置文件路径、登录脚本等信息,但在此处没有提供这些额外信息。

答案:aad3b435b51404eeaad3b435b51404ee

5、内存取证-5

请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]

这个要查看mftparser,它的功能是恢复被删除的文件:

python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 mftparser
DIDCTF-2023蓝帽杯-内存

时间就是:2023-06-21 00:29:16

6、内存取证-6

请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]

python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 pslist
DIDCTF-2023蓝帽杯-内存

时间:2023-06-21 00:47:41

7、内存取证-7

分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]

查看浏览器历史:

python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 chromehistory > chromehistory.txt

导入到文件里,编码方式是UTF-8,看一下这个时间点这个网站访问记录有几条……

DIDCTF-2023蓝帽杯-内存

维斯塔斯的访问记录有9条,第二条是2023-06-20 16:56:57访问的,第4个字段是访问的次数,可以看到是2

8、内存取证-8

请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]

λ python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 pslist
DIDCTF-2023蓝帽杯-内存

最后一条访问Google的PID就是2456

原文始发于微信公众号(南有禾木):DIDCTF-2023蓝帽杯-内存

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月30日02:16:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DIDCTF-2023蓝帽杯-内存https://cn-sec.com/archives/3685497.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息