前言
DIDCTF里面的2023蓝帽杯,由于工具限制,只能做MISC和内存取证题目。
MISC
1、ez_Forensics
单纯的取证
查看历史命令,这里列出了其中的两个感觉有用的命令:
λ python2 vol.py --plugin=volatility_plugin -f C:UsersAdministratorDesktopmisc-mem.raw --profile=Win7SP1x64 cmdline
Command line : "C:Windowssystem32NOTEPAD.EXE" C:UsersS2zzDesktopreadme.txt
Command line : "C:Program FilesWinRARWinRAR.exe" -iext "C:UsersS2zzDesktoptable.zip"
把这两个文件提取出来看看:
明文攻击呀,压缩包里有个readme.txt,外面也有个readme.txt
但是两个文件文件的CRC32不一样,这肯定无法进行明文攻击,用editbox恢复一下readme.txt的内容:
圈住的才是readme.txt的内容,把内容改成这个,再次查看crc32:
CRC32一致了,开始攻击:这里注意一下readme.txt压缩时压缩方式要选择存储,否则无法成功攻击!
解压后得到table,但是没有后缀,不知道是什么,我们扔到010中看看文件头:
80504E47,这是PNG文件,把后缀改成PNG,看一下:
一个4*4的方格,想想吧…………
看起来像个密钥,那么密文在哪?
查看consoles,看到了密文:SECRET=U2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=
那么加密方式是什么呢,也没说……让自己猜么
而且也没有密钥,前边拿到的图片也不知道有什么用,再找找别的吧……
又回去看了一遍扫出来的文件列表,发现了这个文件:
0x000000007d4b8d20 15 0 R--rw- DeviceHarddiskVolume2UsersS2zzDesktopkey.rsmr
导出来了,但是不知道是个什么,用记事本打开发现第一行内容是:
鼠标记录文件,还给了地址,去这个网站上把工具下载了下来,把这个文件导入了进去:
链接:https://www.robot-soft.com/MouseRecorder.exe
点击Repeat鼠标就开始自己动了。这回算是明白他给的上面那个16宫格是干什么了,打开这个图片,再用这个工具让鼠标动起来,应该就会点某些格子,点到的就是密码,那还要认真看了:a91e37bf
接下来就解密了,但是不知道加密算法呀……自己猜?
实在猜不到,去看了writeup知道了是AES:
https://www.sojson.com/encrypt_aes.html
得到了明文:part2: 3a-f140-2626195942a0} the other part is in the password
竟然还只是一部分flag,另一部分在password中……
没找到另一半,在网上看了一圈都是用的passwarekit一键提取了flag……工具题呗,那没什么意思了
直接拿图了:flag{194a019a-1767-91
最后拼在一起,完整的flag就是:flag{194a019a-1767-913a-f140-2626195942a0}
内存取证
1、内存取证-1
请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
python2 vol.py --plugin=volatility_plugin -f C:UsersAdministratorDesktopmemdump.mem imageinfo
创建时间一看看到了:2023-06-20 17:02:27 UTC+0000
但是UTC+0000可不是北京时间,所以要加上8小时,标准答案就是:2023-06-21 01:02:27
2、内存取证-2
请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
python2 vol.py --plugin=volatility_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 hashdump
yang88:1000:aad3b435b51404eeaad3b435b51404ee:46e5597f00c98ae6cf3917b07bcc00be:::
只能动用特殊手段了:3w.qax.com
3、内存取证-3
提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
λ python2 vol.py --plugin=.volatility2_pluginJamesHall_KevinBreen -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 usbstor
同样加上8小时: 2023-06-21 01:01:25
4、内存取证-4
请给出用户yang88的LMHASH值?[答案格式:字母小写]
送分题,还是第二题拿到的hash值:
yang88:1000:aad3b435b51404eeaad3b435b51404ee:46e5597f00c98ae6cf3917b07bcc00be:::
1、用户名:yang88,这是该用户账户的名称。
2、RID(相对标识符):1000 ,RID 用于在安全账户管理器(SAM)数据库中唯一标识用户账户。在 Windows 系统中,某些特殊的 RID 具有特定含义,1000 通常是普通用户的 RID 起始值 。
3、LM 哈希值:aad3b435b51404eeaad3b435b51404ee ,这是 LAN Manager 哈希值,由于 LM 哈希算法存在安全缺陷,现在主要用于兼容旧系统。此处该值为固定值 aad3b435b51404eeaad3b435b51404ee,这表明该账户禁用了 LM 哈希计算(当用户密码超过 14 个字符或者系统策略禁用 LM 哈希时,会显示此固定值)。
4、NTLM 哈希值:46e5597f00c98ae6cf3917b07bcc00be ,这是 NT LAN Manager 哈希值,它是基于用户密码的 Unicode 表示计算得出的,相比 LM 哈希更为安全,常用于 Windows 系统的身份验证过程。
5、后面的两个冒号(:::):这部分内容在不同场景下可能有不同用途,在这里它们可能是占位符,没有特定含义。在某些情况下,冒号分隔符之后可能会跟有其他信息,例如用户的配置文件路径、登录脚本等信息,但在此处没有提供这些额外信息。
答案:aad3b435b51404eeaad3b435b51404ee
5、内存取证-5
请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
这个要查看mftparser,它的功能是恢复被删除的文件:
python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 mftparser
时间就是:2023-06-21 00:29:16
6、内存取证-6
请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 pslist
时间:2023-06-21 00:47:41
7、内存取证-7
分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
查看浏览器历史:
python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 chromehistory > chromehistory.txt
导入到文件里,编码方式是UTF-8,看一下这个时间点这个网站访问记录有几条……
维斯塔斯的访问记录有9条,第二条是2023-06-20 16:56:57访问的,第4个字段是访问的次数,可以看到是2。
8、内存取证-8
请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
λ python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktopmemdump.mem --profile=Win7SP1x64 pslist
最后一条访问Google的PID就是2456
原文始发于微信公众号(南有禾木):DIDCTF-2023蓝帽杯-内存
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论