[陇剑杯 2021]内存分析(问2)

原创 已于 2025-04-21 21:03:15 修改 · 546 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #write up #CTF比赛 #网络安全 #python #手机取证 #取证分析

于 2025-04-21 20:54:58 首次发布

查找关键词“CTF”:

vol.py -f Target.vmem --profile Win7SP1x64 filescan | grep -E "CTF"

发现是华为的手机

安装foremost:

apt install foremost

使用foremost分离文件:

foremost -T Target.vmem

查找关键词“HUAWEI”:

vol.py -f Target.vmem --profile Win7SP1x64 filescan | grep -E "HUAWEI"

发现了“picture”关键词

将该文件下载下来:

vol.py -f Target.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007fe72430 -D /home/kali/Desktop/test

经查询,由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件,只有一个images0.tar.enc是不行的,需要另一个exe文件,下载下来:

vol.py -f Target.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D /home/kali/Desktop/test

打开以下文件可以看到目标文件:

使用unzip命令解压该dat文件:

unzip file.None.0xfffffa80037e0af0.dat

多了个HUAWEI P40_2021-aa-bb xx.yy.zz文件夹:

接下来需要克隆项目“https://github.com/RealityNet/kobackupdec”

这里可以克隆到kali里,但我直接在本机上下载来用了:

python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "E:\downloads\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz" E:\downloads\内存分析\result

“W31C0M3_T0_THiS_34SY_F0R3NSiCX”是上一题的flag

"E:\downloads\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz"是解压出来的文件夹

“E:\downloads\内存分析\result”是要解压到的文件夹(注意不能已经有result文件夹,否则会失败)

解压压缩包得到flag:

flag{TH4NK Y0U FOR DECRYPTING MY DATA}

改成NSSCTF格式:

NSSCTF{TH4NK Y0U FOR DECRYPTING MY DATA}

2021陇剑-内存取证
WTT001的博客
12-01 462
密码是上题的W31C0M3_T0_THiS_34SY_F0R3NSiCX。再文件分离一下,得到华为的文件夹。mimikatz一把梭了。
陇剑 2021 write up整理
weixin_43234021的博客
10-09 9346
竞赛 write up 收集和整理一 羊城 2021 write up收集和整理1 web2 Misc1 签到题3 Crypto4 Reverse4.1 Ez_android5 PWN 一 羊城 2021 write up收集和整理 1 web 2 Misc 1 签到题 <?php echo("SangFor{".md5("28-08-30-07-04-20-02-17-23-01-12-19")."}"); ?> 图1是二八定律(28),图2是八卦(8),图3是三十而立(30),图4是北
[陇剑 2021]内存分析
J_linnb的博客
04-29 1199
解压完成后发现多了一个HUAWEI P40_2021-aa-bb xx.yy.zz文件夹,并且在里面发现一个images0.tar.enc文件,此文件为华为加密文件,我们需要在网上下载解密脚本,解压密码题目中已经提示为上一题的flag,也就是。本题的格式也是flag{xxx},含有空格,提交时不要去掉)(密码中为flag{xxxx},含有空格,提交时不要去掉)虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为(,注意,运行脚本时密码的空格要改为'_'也就是。提取结束后会发现有两个文件。
2021陇剑网络安全大赛-内存分析
qq_43264813的博客
09-14 2387
2021陇剑网络安全大赛-内存分析 题目描述: 网管小王制作了一个虚拟机文件,让您来分析后作答: 解题思路: 6.1虚拟机的密码是_flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}_。(密码中为flag{xxxx},含有空格,提交时不要去掉) vol.py -f Target.vmem --profile=Win7SP1x64 hivelist vol.py -f Target.vmem --profile=Win7SP1x64 hashdump -y 0xfffff8a0000
[陇剑 2021]内存分析1)
最新发布
weixin_73049307的博客
04-21 233
(按理说是flag{W31C0M3_T0_THiS_34SY_F0R3NSiCX},对应没有空格,但有下划线)(volatility命令可以看“电脑基础知识”部分的volatility及部分插件的安装与配置)没有空格,但有下划线。
NSSCTF - 【陇剑 2021内存分析1)
12-12
本题考察的是 MISC 中的内存取证相关的内容,要想过此关,你需要知道以下知识点: - 内存取证工具 Volatility 的基本使用: - `-f xxx.vmem imageinfo` => 获取内存镜像的详细信息。 - Volatility 插件 Mimikatz 的基本使用: - Mimikatz 是一个开源的用于从 Windows 操作系统中提取明文密码,哈希值以及其它安全凭据的工具。 - `-f ../Target.vmem --profile=Win7SP1x64 mimikatz` => 使用 Mimikatz 提取用户明文密码
2021陇剑网络安全大赛wp-内存取证(详细题解)
偷一个月亮
09-15 2503
6.1 使用volatility对内存进行分析,配合mimikatz插件跑密码 6.2 根据提示,使用filescan命令在内存中查找文件,发现华为备份文件 HUAWEI P40_2021xxxxxx,搜索后发现多个相关文件,最后发现HUAWEI P40_2021-aa-bb xx.yy.zz.exe 为一自解压文件,解压后即为备份 找到解密工具kobackupdec,根据上一步提示,根据提示将空格替换为_,解密成功 ...
CTF-陇剑内存分析-虚拟机内存取证1
08-03
CTF(Capture The Flag)竞赛中,这种技术经常被用来解决复杂的挑战,例如“陇剑”中的内存分析题。本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源...
2021陇剑线上赛题.zip
09-28
【标题】2021陇剑线上赛题.zip是一个关于网络安全竞赛的压缩包文件,它聚焦于2021年举办的首届“陇剑网络安全大赛。这个比赛旨在提升和检验参赛者在网络防御和安全分析方面的能力,通过实战演练,促进对网络...
2021陇剑线上——机密内存取证
m0_46296905的博客
06-29 2694
给了我们三个文件,有一个vmem文件,vmem即虚拟机的内存文件,首先尝试直接用volatility分析使用volatility进行直接分析发现无法识别profile另外两个文件的文件类型不明,需要我们自行判断,但可以肯定的是其它类型的虚拟机文件查阅了相关资料了解了一下虚拟机文件类型及其作用下面是vmware官方文档中给出的虚拟机文件类型说明再观察一下两个文件的内容,有个很明显的特征就是这个文件一半是可打印字符,一半是乱码,注意到乱码区域开头部分有个显眼的标识码——bin01就是一个二进制文件我们将一个虚拟
✿第一届陇剑内存取证1WP以及2部分思路
Tokeii想躺平
09-14 2044
内存取证1 因为题目要求求密码,所以直接使用Passware Kit Forensic 2021 内存分析功能进行一把梭 第二提示有手机备份文件 使用各类取证工具,甚至使用foremost可以轻易地知道型号为HUAWEI 使用volatility来分离相关文件 因为我试用的是windows下的,所以用到的是find命令 vol -f Target.vmem --profile=Win7SP1x64 filescan|find "HUAWEI" 直接提取第一个即可 vol -f Target.vmem
陇剑 2021刷题记录
orchid_sea的博客
02-18 4998
7B是URL编码中表示左花括号的字符。%7D是URL编码中表示右花括号的字符。提取出爆破出的内容为:flag{deddcd67-bcfd-487e-b940-1217e668c7db}答案:NSSCTF{deddcd67-bcfd-487e-b940-1217e668c7db}
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3507
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
volatility内存取证分析与讲解(持续更新)
qq_49422880的博客
02-28 7546
volatility内存取证分析与讲解0x01 volatility的安装0x02 基本使用0x03 取证实战(持续更新)0x04 总结 0x01 volatility的安装 本人暂时只使用windows下的volatility进行取证,安装方法如下: volatility安装网址 进去之后,找到windows版本然后直接下载即可。 直接解压,就能用。 0x02 基本使用 1.volatility_2.6.exe -f .\Target.vmem imageinfo 查看镜像的基本信息。使用的时候可以将
NSSCTF(MISC)—[陇剑 2023]WS(一~四)
hzhfhsq的博客
03-11 988
一共就两个IPtelnet登录192.168.246.28,所以被入侵IP是192.168.246.28。
[2021首届“陇剑网络安全大赛 决赛]内存取证writeup
ShenZ的博客
11-24 5324
内存取证 附件:mem_sec.vmem 1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述题。请根据u盘里的mem_sec.zip文件进行分析取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写) 2.经过入侵分析发现该主机的使用人员曾经访过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/) 1https://mail.td?
内存取证之NSSCTF-OtterCTF 2018(复现赛)
wuwuliuliu0524的博客
07-21 1938
6-8}0x400x060x?{18}0x5a0x0c0x00{2}What'srick'scharacter'sname?答案使用-连接加上NSSCTF{}格式提交,例如游戏名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}答案使用-连接加上NSSCTF{}格式提交,例如PC名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}{18}0x5a0x0c0x00{2},Rick的角色叫什么?......
2021陇剑(真流量分析取证)题目复现
Love&Share
09-15 2707
JWT 看session很明显使用了jwt id和username需要去解jwt就可以得到 坑点:不要只看前半部分迷惑流量 没有的到权限所以说这部分流量可以忽略,往后翻 这条流量权限就变成了root,所以这个session才是正确的 解出来id=10087 username=admin 文件就是1.c 编译恶意文件名为looter.so文件,在后边的流量中也是可以看到的 修改的配置文件 SQL注入 附件是access.log日志文件,里边就是sql注入-布尔盲注的数据包 前边的不用看 172.17
CTF大赛】陇剑-机密内存-解题过程分析
HBohan的博客
09-27 3528
前言 机密内存这道题是陇剑中的压轴题,题目中涉及到使用VMware加密功能进行加密的内存镜像,难度极大。我在这里详细的记录一下解题思路和过程,如有错误或疏漏的地方还请大佬们在评论区指出。 题目初探 拿到题目,为三个文件,其中mem_secret-963a4663.vmem为常见内存镜像文件,另外两个文件格式未知。 使用volatility进行分析无法识别profile。 接着分析分析Encryption.bin01和Encryption.bin02文件,初步分析Encryption.bin01文件,无.
陇剑CTF: 内存分析文件解压指南
陇剑作为国内知名的网络安全比赛,所涉及的内容和题目范围相当广泛,尤其是在逆向工程和内存分析方面。从给定的文件信息中,我们可以了解到以下知识点: 1. 文件压缩与解压:从标题和描述中可以看出,我们拥有的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值