2024年春秋杯misc方向--ez forensics题解(使用lovelymemv版)

已于 2025-03-03 13:46:07 修改
阅读量8.8k 收藏 4
点赞数 14
CC 4.0 BY-SA版权
文章标签: python 网络安全 github
于 2025-01-24 11:00:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sveewg/article/details/145330547

最近在做春秋杯时,有一道取证题手搓有点难,便想到了lovelymemv这个工具,接下来一起看看怎么做的吧

详细操作

首先拿到的一个raw文件,加载到lovelymemv中

使用快速检查看一下,发现有一个压缩包和txt文件有点可疑(在这里给这个功能点赞,一把梭确实厉害)

有目标后我们可以使用vol2的文件扫描(目的是将这两个文件导出来),得到output_vol2_filescan.csv并打开

然后在0ffost列右键进行导出(导出一定要用vol3,vol2导出来是空的)(不要忘记搜索一下,要不然找起来太麻烦)

文件导出来是单独作为一个磁盘存在,其中压缩包和txt文件在M:\forensic\ntfs\0\Users\Flu0r1n3\Desktop(一开始我也纳闷,怎么没在根目录下,后来想到这是一个windows系统,有点尴尬了)

我们先来看hint.txt文件,问60 = ( ) + ( ),想到ROT13+ROT47

那就使用在线网站CyberChef进行一下解码,解密得到hint内容,告诉我们hashdump得到的用户密码就是7z压缩包的密码

使用LovelyMem Vol2-拓展功能-Mimikatz得到密码

解压一下:strawberries,得到了两个文件:

MobaXterm的配置文件,整个文件里能看到的地方都没有flag,那很有可能flag在密文里了。

在这里使用了python的pycryptodome库,这是详细使用手册

  1. https://github.com/HyperSine/how-does-MobaXterm-encrypt-password

工具解密命令

python .\MobaXtermCipher.py dec -p flag_is_here DLulatnJIPtEF/EMGfysL2F58R4dfQIbQhzwuNqL
flag{eW91X2FyZV9hX2cwMGRfZ3V5}

最后在进行base64转码

以上就是我的解题过程,如有不懂,可以看这篇2024春秋杯冬季赛 ez forensics题解 使用LovelyMem-CSDN博客(我就是看的这篇的过程做的)

SecPulse
关注
Idea执行Pom.xml导入jar包提示sun.misc.BASE64Encoder jar找不到---SpringCloud工作笔记197
添柴程序猿的专栏
10-11 2157
原因是从jdk9的时候,这个jar包已经被删除了,所以会报错,如果你用的是jdk自带的这个jar包就会报错,那么还可以,修改,不让他用jdk的,让他用。奇怪之前都是好好的,这个是因为,jdk的本不对,重新打开以后自动被选择成jdk11了...记录一下。用org.apache.commons.codec.binary.Base64中的这样也可以的.或者就直接把jdk本改成1.8了..
2020湖湘-CTF-MISC-颜文字
zippo1234的博客
11-02 2922
2020HXB-CTF-MISC-颜文字颜文字题目分析开始1.题目2.流量分析3.html分析4.base64隐写5.snow隐写6.摩尔斯结语 每天一题,只能多不能少 颜文字 题目分析 11月1日,作为菜鸡又被湖湘恶心了一次,最后几个小时平台沦陷,搞得到最后成绩如何都不知道,罢了,反正也只做了几道简单的。这里分享其中一题。MISC的第一题,颜文字。 base64隐写 snow隐写 摩尔斯 栅栏 开始 1.题目 给出一个流量包 2.流量分析 习惯性上手flag。 内容很多,试试直接导出。 得到
2024春秋冬季赛 ez forensics题解 使用LovelyMem
m0_70369590的博客
01-17 1094
接下来直接套了原题,使用flag_is_here作为MobaXterm的主密钥去对root用户密码进行解密。使用LovelyMem Vol2-拓展功能-Mimikatz得到密码strawberries。解密得到hint内容,告诉我们hashdump得到的用户密码就是7z压缩包的密码。使用LovelyMem快速检查,发现桌面上有hint和f14g.7z,导出文件。hint提示60=?,想到ROT47+ROT13。解压压缩包,发现是MobaXterm的配置文件。最后base64得到flag。
Lovelymem一把梭2024美亚内存取证(Lovelymem软件使用详细步骤+软件+检材链接)
m0_37867238的博客
12-25 3020
Lovelymem一把梭2024美亚内存取证(Lovelymem软件使用详细步骤+软件+检材链接)
2024美亚资格赛内存取证–使用Lovelymem一把梭
2301_81210668的博客
01-22 958
Lovelymem在内存取证里的便捷使用
CTF常用工具_实时更新
baimao__Ch的博客
04-29 1026
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024美亚个人赛
qq_44640313的博客
11-22 2627
2024美亚个人赛复现
2024 赣政CTF --- Crypto & Misc wp
3tefanie的博客
08-12 1637
【着急长大的孩子们,总以为童是一本永远写不完的书,急哄哄去翻看一部少书。】
2023羊城 DASCTF EZ-Misc
09-03
2023羊城 DASCTF EZ-Misc
网鼎MISC--minified(writeup)
热门推荐
灬彬的博客
08-20 1万+
  题目链接: https://pan.baidu.com/s/1NZ4O5_zhGRYkx7ZBxPy6zA 密码: xfum 打开文件。。。文件中只有一张图片   通常图片的题。。首先就丢到binwalk分析一波。。然后stegsolve。。前两步没结果再用winhex打开分析   这题首先binwalk无果。。。 所以用stegsovle打开 调到a0和g0的通道...
内存取证不用愁!LovelyMem 可视化工具,小白也能轻松上手
最新发布
Kali与编程
08-07 841
LovelyMem是一款由Tokeii0开发的内存取证工具,集成了MemProcFS、Volatility2/3等主流工具,提供快速取证、任务编排、AI辅助分析等功能。工具支持图形化配置路径和插件开发,内含解压文件等示例插件。初始本为收费软件,用户可通过配置文件或GUI设置工具路径。获取方式为夸克网盘下载。该工具通过集成多款专业工具和AI支持,提升了内存取证的效率和便捷性。
ctfshow单身2024 Writeup By V3geD4g
xczzhf的博客
11-13 1906
直接用数字和字符串绕就可以了。
西电mo_ctf2024 ,ez_http
qq_73562150的博客
11-27 235
然后就需要让源来自https://www.xidian.edu.cn/,所以就需要抓包,然后在重放器中修改,修改它的referer。然后让它的浏览器为MoeDedicatedBrowser,也就是修改user-agent。然后下一步增加一个cookie,让它的user=admin。最后还有个get传参,注意get传参应该加个?然后要让它可以本地登录,就需要加一个。首先需要打开post这个。然后就需要post传参。
2024陇剑答题笔记(更新中)(1)2024最新网络安全大厂面试真题解析大全
2401_83946044的博客
04-15 1824
(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案)(md5加密后以a开头)(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案)(md5加密后以b开头)(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案)
2024-GCTF(赣CTF)第二届江西省高校联合新生赛-Misc-wp
道阻且长 行则将至
11-04 1355
CTF分享将不在平台更新,以后更新的内容将在52yang.top此网站分享太菜了,没有,希望各位师傅海涵。拿到隐藏的压缩包,压缩包中有个文本文件但是压缩包是加密的,这时候需要再jpg图片中继续寻找压缩包的密码 jpg的隐写,试过其他的之后,尝试到隐形水印的时候有了结果
DASCTF7月misc--ez_forenisc
WXjzcccc的博客
07-27 897
取证大师解bitlocker(也可以先将vmdk转换为其他passware可以识别的格式,直接通过内存镜像解出一个解密的镜像)查看内容发现密文,看着像base64,但是base64可不需要密钥啊,那么就有可能是AES了。有密钥那就有密文,继续分析内存文件,扫描文件时发现一个文件thes3cret。passware解析内存镜像,得到用户名密码550f37c7748e。压缩包有密码,密码就是之前得到的用户密码,解压得到内容。观察发现没有大于8的数字,判断是8进制,转换一下输出。预览发现是压缩包,直接导出文件。.
DASCTF7月 ez_forenisc
247533的博客
07-25 581
一道疑似mumuzi出的的misc
Vulnhub实战-Forensics
qq_24033605的博客
07-18 399
Vulnhub实战-Forensics 下载链接 描述 信息收集 访问网页。 (张狂) 点击进去是一张动图。 查看主页源码。发现有个images目录。 进去查看一下。 全部下载下来查看一下。 Flag:1 {bc02d4ffbeeab9f57c5e03de1098ff31} 用dirb扫描txt文件后缀。 将两个文件都下载下来。 flag.zip文件时加密的,igolder是一个目录,该目录下还有一个clue.txt文件。 clue.txt文件是一个加密文件,使用在线工具解密。 P
misc】2021 极客大挑战(部分)
woodwhale的博客
11-29 4502
misc】2021 极客大挑战(部分) 1、今天有被破防吗? 0x1 最早上的一批题目,当时没什么思路。后来pwn神在群里提到了RGB,瞬间懂了! 参考链接: gaps拼图 0x2 下载附件得到一个很长的txt文本,其中每一行都是三个数字。如果知道是RGB就好处理了。 0x3 注意到一共1166400行,那么就是1080*1080的规格 简单的python脚本处理一下图片 from PIL import Image res = [] with open("./ans.txt","r") as f
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值