Otterctf 2018 内存取证 (复现)

news2024/11/13 20:21:34

题目地址:
https://otterctf.com/challenges

1 - What the password?

描述:you got a sample of rick's PC's memory. can you get his user password?

首先查看一下镜像的信息
python2 vol.py -f /home/kali/Desktop/OtterCTF.vmem imageinfo
在这里插入图片描述题目描述需要获取密码, 使用mimikatz插件
python2 vol.py -f /home/kali/Desktop/OtterCTF.vmem --profile=Win7SP1x64 mimikatz
在这里插入图片描述MortyIsReallyAnOtter 就是flag

2 - General Info

描述:Let's start easy - whats the PC's name and IP address?
需要得到主机名和ip
查看一下注册表
python2 vol.py -f /home/kali/Desktop/OtterCTF.vmem --profile=Win7SP1x64 hivelist
在这里插入图片描述

主机名会出储存在\REGISTRY\MACHINE\SYSTEM中的ControlSet001\Control\ComputerName\ComputerName里面

python2 vol.py -f /home/kali/Desktop/OtterCTF.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName"
在这里插入图片描述得到主机名:WIN-LO6FAF3DTFE

ip地址,则可以通过netscan:查看网络连接状况来读取

python2 vol.py -f /home/kali/Desktop/OtterCTF.vmem --profile=Win7SP1x64 netscan

在这里插入图片描述ip: 192.168.202.131

3 - Play Time

描述:
Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?

使用pslist列一下进程
LunarMS就是这个游戏的名字
在这里插入图片描述知道了它的pid 是708 , netscan配合gerp搜索一下
在这里插入图片描述
得到它的ip: 77.102.199.102

4 - Name Game

描述:We know that the account was logged in to a channel called Lunar-3. what is the account name?
使用strings命令查找可打印字符, 在配合grep, 匹配Lunar-3, 找它的上下文
-A 5:表示后5行
-B 5: 表示前5行

在这里插入图片描述得到用户名为: 0tt3r8r33z3

5 - Name Game 2

描述:From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What's rick's character's name?

将 LunarMS.exe进程数据保存下来
memdump : 转储进程的可寻址内存
D:提取程序后保存的地址
在这里插入图片描述生成了一个708.dmp的文件
可以直接使用010查看相应的内容, 搜索一下0x5a 0x0c 0x00 0x00
得到用户名:M0rtyL0L
在这里插入图片描述
也可以使用xxd命令:生成二进制文件的十六进制表示
配合gerp筛选特定信息的位置
xxd 708.dmp | grep "5a0c 0000"

6 - Silly Rick

描述:Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password?
总是复制粘贴, 可以查看剪切板数据 clipboard
在这里插入图片描述
得到了 剪贴板中的内容 :M@il_Pr0vid0rs 就是password

7 - Hide And Seek

描述:The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension) BEAWARE! There are only 3 attempts to get the right flag!
需要查找恶意软件进程的名字
列一下进程 pslist
在这里插入图片描述可疑的搜索一下, 尝试一下
最后的结果是:vmware-tray.exe

8 - Path To Glory

描述:How did the malware got to rick's PC? It must be one of rick old illegal habits...

进程里有Rick And Morty ,美国的一个动画, 应该就是下片儿导致电脑中毒的
filescan看一下文件
在这里插入图片描述将这些文件都提取出来, 用010查看
dumpfiles : 提取内存中映射或缓存的文件
最后在第四条里面可以找到

在这里插入图片描述
在这里插入图片描述
M3an_T0rren7_4_R!ck

9 - Path To Glory 2

描述:Continue the search after the way that malware got in.
按照恶意软件进入的方式继续搜索
有很多的chrome的信息, 恶意软件肯定从浏览器下载的,把chrome.exe的进程保存下来
在这里插入图片描述strings配合grep搜索Rick And Morty season 1 download.exe相关的东西
在这里插入图片描述Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in

10 - Bit 4 Bit

描述:We've found out that the malware is a ransomware. Find the attacker's bitcoin address.
将之前的恶意软件的进程保存下来
在这里插入图片描述
使用strings查找ransomware相关的内容
在这里插入图片描述1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M

11 - Graphic’s For The Weak

描述:There's something fishy in the malware's graphics.
恶意软件的图形中有问题, 用foremost分离一下程序
在这里插入图片描述

可以分离出很多东西, 在图片里面可以找到flag
在这里插入图片描述
CTF{S0_Just_M0v3_Socy}

12 - Recovery

描述:Rick got to have his files recovered! What is the random password used to encrypt the files?
使用procdump转存进程的可执行文件
反编译一下可以找到 密码的生成和发送的函数在这里插入图片描述computerName前面已经知道了WIN-LO6FAF3DTFE
搜索一下
在这里插入图片描述aDOBofVYUNVnmp7

13 - Closure

描述:Now that you extracted the password from the memory, could you decrypt rick's files?
需要解密软件
在这里插入图片描述将flag.txt文件保存下来
查找pdb文件

pdb文件主要存储了如下调试信息:
(1)public, private,和static函数地址。
(2)全局变量的名称和地址。
(3)参数和局部变量的名称及它们在栈中的偏移量。
(4)类型定义,包括class, structure,和 data definitions。
(5)源文件名称和行号。
————————————————
版权声明:本文为CSDN博主「吃素的施子」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/feikudai8460/article/details/116237433
————————————————

                            版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
                        
原文链接:https://blog.csdn.net/m0_66638011/article/details/130577116

在这里插入图片描述

可以发现勒索软件为HiddenTear, 网上找解密程序HiddenTearDecrypter
010打开前面保存的flag文件,将这个加密文件的末尾多余的0去掉,再把后缀加上.locked , 用上前面的得到的密码解密
在这里插入图片描述

解密后记事本打开
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2068923.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

el-form中使用v-model和prop实现动态校验

如何在Vue的el-form中使用v-model和prop实现动态校验,包括多个变量控制校验、数组循环校验和字段级条件显示。通过实例演示了如何配合rules和自定义验证函数来确保表单的完整性和有效性。 公式: 动态校验项的v-model的绑定值 el-form的属性 :model的值 …

PCSE不同播种时间的对比

目录 简介对比图源代码简介 设置为2022年10月15日播种,然后每隔5天往后播种一次,然后探究播种时间对于作物各个长势的影响 对比图 源代码 import sys, os import matplotlib from matplotlib import style matplotlib.style.use("seaborn-whitegrid") import ma…

ST 表算法

ST 表 ST 表,主要思想是空间换时间,用于解决可重复贡献问题和 RMQ 问题。 可重复贡献问题 指某个运算 o p op op,有 x o p x x x\ op\ x\ \ x x op x x 。例如 m a x ( x , x ) x m i n ( x , x ) x g c d ( x , x ) x max(x,x)x\…

Linux基础环境开发工具gcc/g++ make/Makefile git

1.Linux编译器-gcc/g使用 1. 预处理(进行宏替换) 预处理功能主要包括宏定义,文件包含,条件编译,去注释等。 预处理指令是以#号开头的代码行。 实例: gcc –E hello.c –o hello.i 选项“-E”,该选项的作用是让 gcc 在预处理结束后停止编译过程。 选项“-o”是指目标…

UE基础 —— Components

目录 Component Instancing Instanced Static Mesh Component Instanced Static Mesh Differences of an ISM and a Static Mesh Component Hierarchical Instanced Static Mesh Instancing Systems Working with ISMs Prefabrication Custom Data Creating and Edit…

吴恩达机器学习课后作业-04神经网络

神经网络 对y进行独立热编码处理(one-hot处理)序列化权重参数前向传播代价函数反向传播神经网络优化可视化隐藏层 对y进行独立热编码处理(one-hot处理) def one_hot_encoder(raw_y):result[]for i in raw_y:#1-10y_tempnp.zeros(1…

网络编程之初识

目录 ​前言 发展史 网络互连 局域网(LAN) 广域网(WAN) 网络通信基础 IP地址 特殊IP地址 端口号 网络协议 协议的作用 五元组 协议分层 含义 OSI七层模型 TCP/IP五层协议 网络设备所在分层 封装和分用 发送方 接收方 前言 在这个科技发达的时代&#xff0…

初识C语言指针(3)

目录 1. 数组名的理解 2. 使⽤指针访问数组 3. ⼀维数组传参的本质 4. 冒泡排序 5. 二级指针 6. 指针数组 7. 指针数组模拟⼆维数组 结语 1. 数组名的理解 对于数组名想必大家并不陌生,数组名就是该数组首元素的地址,设想有一个arr 数组。我们…

文本是否换行显示

多行文本 1、white-space: pre-wrap; 保留连续的空白符。在遇到换行符或 <br> 元素时&#xff0c;或者根据填充行框盒子的需要换行。 2、word-break: break-word; 如果单词太长而无法在当前行容纳&#xff0c;浏览器可以尝试在单词内部进行断行&#xff0c;以避免内容…

轻松获得ADSL代理服务

ADSL 代理服务接入常见问答 在当今激烈的网络爬虫与反爬虫斗争中&#xff0c;各大网站和应用程序采取的风险管理手段愈加严格&#xff0c;其中最常见的一种措施是 IP 封禁。 为了有效应对 IP 封禁带来的挑战&#xff0c;设置代理服务成为一种非常有效的解决方案。配置完代理后…

数论之高斯消元

高斯消元&#xff1a; 前置知识&#xff1a; 高斯消元五步骤法 枚举每一列c 找到绝对值最大的一行 将该行换到最上面&#xff08;第r行&#xff09; 将该行的第c列数字变为1 把该行下面的第c列数字全部变为0 代回求解 #include <bits/stdc.h>using namespace std;…

Linux LVM 详解

Linux LVM 详解 1. 简介 参考链接&#xff1a; https://blog.csdn.net/qq_35745940/article/details/119054949 https://blog.csdn.net/FP202530/article/details/125140176 &#x1f449; LVM&#xff08;Logical Volume Manager&#xff09;逻辑卷管理 是在硬盘分区和文件系…

面向对象02:构造器详解

本节内容视频链接&#xff1a;面向对象05&#xff1a;构造器详解_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV12J41137hu?p64&vd_sourceb5775c3a4ea16a5306db9c7c1c1486b5 构造器&#xff08;‌Constructor&#xff09;‌是一种特殊的方法&#xff0c;‌用于初始…

解决Intel-12代13代14代大小核调用导致VMware虚拟机性能低

0x01 设备信息 近期入手的是一台2023款 y9000p 游戏本&#xff0c;CPU为13500h 显卡为RTX4060。 0x02 VMware虚拟机遇到的性能问题 尤其是windows虚机明显感觉性能非常差&#xff0c;开几个网页都很卡。 我一度怀疑是CPU i5性能差&#xff0c;还没我的轻薄本运行速度快&…

jmeter中CSV 数据文件设置用例

1、CSV数据文件的基础使用 线程组->添加->配置远近->CSV数据文件设置 2、多条用例运行CSV数据文件 由于我的csv请求的json数据有“&#xff0c;”所以我这边 分隔符选择了*号 写了两行需要测试的用例&#xff0c;需要添加一个“循环控制器” 线程组->添加-&g…

省时又省力!2024年最新录屏软件快捷键大放送

录屏工具可以帮我们录制教学视频、游戏精彩瞬间等内容。很多时候录制的过程瞬息万变&#xff0c;如果合理使用录屏快捷键就会极大的缓解我们录制时候的慌乱。今天&#xff0c;就让我们一起探索那些“大家都在用的录屏软件快捷键”&#xff0c;看看它们是如何让我们的录制工作变…

centos7 xtrabackup mysql(8)压缩 全量备份 还原(4)

centos7 xtrabackup mysql&#xff08;8&#xff09;压缩 全量备份 还原&#xff08;4&#xff09; 查看版本&#xff1a; xtrabackup --version qpress --help 主机端 mysql -u root -p 1234aA~1 use company_pro; insert into employee(name) value (‘20240823_1401’);…

2024.8.23

130124202408231008 DATE #:20240823 ITEM #:DOC WEEK #:FRIDAY DAIL #:捌月二十 TAGS < BGM "Forest Mixtape&#xff08;Tsuki)" > < theme oi-graph theory Eulerian > < [NULL] > < [空] > < [空] >冰岛的温柔是克莱因蓝再加点…

使用nfs搭建文件共享系统,以及windows环境如何访问linux系统中的文件共享目录

31、简介 在一些场景中&#xff0c;我们需要多台机器进行磁盘文件共享&#xff0c;集群中如果有linux机器&#xff0c;也有windows机器&#xff0c;如何设置进行文件共享&#xff0c;本文将详细说明。 注&#xff1a;本文linux系统使用的是 centos7&#xff0c;windows使用的是…

【Qt】常见控件 —— QWidget

文章目录 QWidget 的基本介绍QWidget 的 enable 属性QWidget 的 geometry属性 QWidget 的基本介绍 Qt 中 的 各种控件 都继承自 QWidget类 在 Qt designer 右侧 就显示出 QWidget的各种属性 并且也可以直接进行编辑 QWidget 的 enable 属性 enable 描述一个控件是否处于可用 …