陇剑杯之内存分析

admin 2021年9月15日05:09:15评论323 views字数 1759阅读5分51秒阅读模式

昨天经历了陇剑杯网络安全大赛,结果,实在没想到呀,选择错的比大题还多。你说他不是CTF吧,他还就是CTF,你说他是CTF吧,他其实就是完形填空。


网管小王制作了一个虚拟机文件,让您来分析后作答:


陇剑杯之内存分析


根据题目,可以使用内存取证工具

Volatility

来进行密码获取


Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。


特点:

  • 开源:Python编写,易于和基于python的主机防御框架集成。

  • 支持多平台:Windows,Mac,Linux全支持

  • 易于扩展:通过插件来扩展Volatility的分析能力


安装分为三步走:

  1. 下载

  2. 安装必要的python依赖文件

  3. 安装本体


你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以通过github去获取源码:


git clone https://github.com/volatilityfoundation/volatility.git


软件官方GitHub:https://github.com/volatilityfoundation


获取支持python2的软件:

https://github.com/volatilityfoundation/volatility


获取支持python3的软件:

https://github.com/volatilityfoundation/volatility3


如果只是用Volatility本体的话,这些依赖是没必要装的,但是如果你想用某些插件,还是把以下这些必备的依赖包装上吧。


Distorm3:牛逼的反编译库

pip install distorm3


陇剑杯之内存分析


Yara:恶意软件分类工具

pip install yara

陇剑杯之内存分析


PyCrypto:加密工具集

pip install pycrypto


PIL:图片处理库

pip install pillow


OpenPyxl:读写excel文件

pip install openpyxl


ujson:JSON解析

pip install ujson

陇剑杯之内存分析


如果你用的是独立的win、linux、mac执行文件,那就不必安装了。只要用python去执行就好。

若是下载了压缩文件,那你可以选择直接运行python主程序,也可以选择使用python setup.py install的方式将Volatility以一个库的形式安装在系统的特定位置上,从而以后我们可以将Volatility作为一个库在其他脚本中去引用其namespace。


先通过 imageinfo 获取系统信息


python2 vol.py -f Target.vmem imageinfo


陇剑杯之内存分析


使用hashdump命令获取用户名


python2 vol.py -f Target.vmem --profile=Win7SP1x64 hashdump

陇剑杯之内存分析


lsadump命令获取最后登录的用户


python2 vol.py -f Target.vmem --profile=Win7SP1x64 lsadump


陇剑杯之内存分析


可以直接使用mimikatz插件获取flag


插件下载地址:https://github.com/ruokeqx/tool-for-CTF


陇剑杯之内存分析


陇剑杯之内存分析


python2 vol.py -f Target.vmem --profile=Win7SP1x64 mimikatz


陇剑杯之内存分析



获取flag flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}


┌──(root💀kali)-[/volatility-master]└─# python2 vol.py -f Target.vmem --profile=Win7SP1x64 mimikatz                    Volatility Foundation Volatility Framework 2.6.1Module   User             Domain           Password                                -------- ---------------- ---------------- ----------------------------------------wdigest  CTF              WIN-QUN5RVOOF27  flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}    wdigest  WIN-QUN5RVOOF27$ WORKGROUP


本文始发于微信公众号(利刃信安):陇剑杯之内存分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月15日05:09:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   陇剑杯之内存分析https://cn-sec.com/archives/544450.html

发表评论

匿名网友 填写信息