CTF题记——取证小集合

   日期:2020-11-09     浏览:103    评论:0    
核心提示:前言最近接触到的取证类题目很多,所以就总结一下这类题。不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。"食用"方法判断镜像信息,获取操作系统类型volatility -f ?.img/raw/... imageinfo知道操作系统类型后,用–profile指定volatility -f ?.img --profile=...查看当前显示的notepad文本volatility -f file.raw --profile

前言

最近接触到的取证类题目很多,所以就总结一下这类题。
不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。

"食用"方法

判断镜像信息,获取操作系统类型

volatility -f ?.img/raw/... imageinfo

知道操作系统类型后,用–profile指定

volatility -f ?.img --profile=...

查看当前显示的notepad文本

volatility  -f file.raw --profile=WinXPSP2x86 notepad

查看当前运行的进程

volatility  -f file.raw --profile=WinXPSP2x86 psscan/pslist

扫描所有的文件列表(常常结合grep)

volatility  -f file.raw --profile=WinXPSP2x86 filescan

根据offset提取出文件

volatility  -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x.....

扫描 Windows 的服务

volatility -f file.raw --profile=WinXPSP2x86 svcscan

查看网络连接

volatility -f file.raw --profile=WinXPSP2x86 connscan

查看命令行上的操作

volatility -f file.raw --profile=WinXPSP2x86 cmdscan

根据pid dump出相应的进程

volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2580 -D 目录

常用命令

题目

湖湘杯(取证)

一个G的raw文件,工具分析就行了。
使用

#使用imageinfo参数查看内存是什么系统的镜像
volatility -f men.raw imageinfo			#profile=Win7SP1x86_23418
#直接查看用户名和密码hash
volatility -f men.raw --profile=Win7SP1x86_23418 hashdump

然后看到三个用户

使用彩虹表暴力猜解
hash猜解

密码是qwer1234
题目是说的sha1(password)
所以再进行加密一下就可以了

BUU内存取证(VN)

首先查看镜像信息

列出进程,一般使用pslist当然还有其他的,pstreepsscan

记几个重要的地方,一般是notepad.exe、TrueCrypt.exe 、mspaint.exe、iexplore.exe 、DumpIt.exe
简单介绍:
mspaint.exe是一个画图软件
notepad.exe是记事本,一般记事本中会有内容hint或者在内存中(还未保存)
DumpIt是一款绿色免安装的 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来,并用于后续的调查取证工作。
TrueCrypt.exe
先将这些可疑进程dump下来。进行进一步的分析

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 2648 --dump-dir=./

类似这样的,先分析画图的,需要使用一个工具gimp在linux中相当于photoshop一样的软件,直接安装就可以

#在root权限下
apt-get update
apt-get install gimp

然后打开使用就可以了
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest
这个师傅讲的如何使用这个软件。

刚打开时,是默认分辨率是0,高度和宽度都是350,先随便调节一下,大概就是三个变量值都先调低一点,然后慢慢调高。
调试很多次,慢慢调节出一些值,这个值可以参考windows系统自带画图软件的,我的是1628x440,修改一下,就开始改变分辨率就可以了。下图大概成型了

然后微调一下宽度就行,不过调过之后是反的,所以可以再调大一些,多调动尝试最佳角度。

拿到了一个字符串1YxfCQ6goYBD6Q
然后看下一步,提取记事本中的内容
这里介绍一个插件editbox可以显示有关编辑控件的信息。
使用命令

volatility -f men.raw --profile=Win7SP1x86_23418 editbox


网盘链接得到了,提取码也得到了,就进行下一步
下载得到一个VOL文件

然后就是TrueCrypt,这个dump下来不用进行其他操作,成功挂载到F盘,里面看到key 文件

打开获得uOjFdKu1jsbWI8N51jsbWI8N5
这个就是VOL挂载加密的key,然后使用TrueCrypt对VOL进行正常解密,
下载安装TrueCrypt,我安装到物理机上面了,直接使用。
密钥填写一下,选择TrueCrypto模式

成功挂载

挂载后,可以在Z盘直接看到一个压缩包

打开需要密码,这个时候用到了画图时得到的密码。

easydump

来源:护网杯2018-MISC-easydump
.img文件,也是一种内存镜像
使用取证神器直接跑

然后就是列出进程
pslist
最显眼的还是这个notepad.exe了

然后dump下来2580.dmp,binwalk查看,信息太多,直接foremost分离文件,里面发现有用的就是两个压缩包,解压是img文件。但是这个文件同样使用volatility去跑,确没有信息,所以判断这个不是内存镜像文件。

先strings看一下

发现好多信息,然后将img文件挂载在linux系统中,

mount -o loop message.img /root/Desktop/m0re

挂载后,可以切换到该目录进行查看信息

cd m0re/
ls -all		#查看所有文件,一般隐藏信息较多

然后在.Trash-0/file下看到一个.message.swp
转存一下

cat .message.swp > m0re.txt
strings m0re.txt


可能是密码什么的,保存一下
hint.txt文件里面都是坐标,猜测是要画图
之前保存过画图的python脚本

from PIL import Image

with open('hint.txt','r') as f:
	points = f.readlines()

pic=Image.new('RGB',(600,600),'black')
pix=pic.load()

for i in points:
	i=i.strip().split(' ')
	pix[int(i[0]),int(i[1])]=(255,255,255)

pic.save('out.png','png')

得到二维码

识别后得到

Here is the vigenere key: aeolus, but i deleted the encrypted message。

维吉尼亚密码,密钥是aeolus
密文不知道,前面的可疑字符串有可能是密文

得到结果。这个题就有点杂了。

总结

学到这里,内存取证的基础题已经可以应付了,这是第二次学习取证的知识,感觉很有意思。

参考博客

https://blog.xiafeng2333.top/ctf-25/
https://blog.xiafeng2333.top/ctf-11/
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服