OtterCTF

简介: OtterCTF

后边的关卡在陆续发


OtterCTF-Memory Forensics



最近在学取证将自己的解题过程记录一下


1.What the password?


  • you got a sample of rick’s PC’s memory. can you get his user password?(你得到了瑞克电脑内存的样本,你能得到他的用户密码吗?
  • 使用
volatility -f qz.vmem imageinfo


获取基本信息 profile为Win7SP1x64

ead62c08b1461ef70cceae980b2af97a.png

volatility -f qz.vmem --profile=Win7SP1x64 hashdump

用hashdump查看一下密码 发现全是MD5加密过的

d48bf6a073b2bab7a9c544963e982562.png


volatility -f qz.vmem --profile=Win7SP1x64 lsadump

用lsadump获取一下明文的密码

5674d703816e5a3887de0df155ad48b5.png


  • 得到 CTF{MortyIsReallyAnOtter}

2.General Info

  • Let’s start easy - whats the PC’s name and IP address?(让我们从简单的开始–电脑的名称和IP地址是什么?)
volatility -f qz.vmem --profile=Win7SP1x64 netscan


使用netscan查看IP地址 得到IP地址:192.168.202.131

e5a44673898a6a5b2ca2a16e27b7e92e.png


volatility -f qz.vmem --profile=Win7SP1x64 hivelist

使用hivelist查看注册表

e496b0a2db4879568d89cb4516bc06dd.png


volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

使用printkey查看注册表system值

fa4a14a771e35e7960c282935997ffc8.png


接下来在表里进行翻找

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

321c83b1b8b5df0c904d36f36e78779d.png

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"

翻到这里时发现了一个名为ComputerName的值

04bfe8e8195ab4b79b2046e36ead94bb.png


volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

一直不停的解析

48f92d9a8ac6c9e5e4c5d9b64e7ad10e.png

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

990e115def6aa05e9d0d8baec6bf1ac0.png


  • 电脑名称: WIN-LO6FAF3DTFE IP地址:192.168.202.131
目录
相关文章
|
Windows
volatility常用的命令
volatility常用的命令
181 0
|
8月前
|
网络协议 数据安全/隐私保护
BUUCTF 神秘龙卷风 1
BUUCTF 神秘龙卷风 1
224 0
|
网络协议 网络安全
Powershell免杀(无文件落地免杀)
无文件落地 顾名思义,无需将恶意文件传到目标服务器/机器上,直接利用powershell的特性加载到内存执行。为了在红队行动中更隐蔽的实施攻击以及横向移动,同时还可以解决目标不出网只能通过dns上线时的棘手问题,利用powershell可以避免一行行echo。 通过两种方式进行无文件落地的免杀,一种是出网的情况,另一种为不出网情况。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
1189 0
|
8月前
|
存储 SQL Linux
MinIO客户端安装教程(Window版)
MinIO客户端安装教程(Window版)
933 0
|
安全 Java 测试技术
【代码审计篇】 代码审计工具Fortify基本用法详解
本篇文章讲解代码审计工具Fortify的基本用法,感兴趣的小伙伴可以研究学习一下,文中部分地方可能会有遗漏,麻烦各位大佬指正,深表感谢!!!
1734 1
|
4月前
|
安全 应用服务中间件 开发工具
Web安全-SVN信息泄露漏洞分析
Web安全-SVN信息泄露漏洞分析
253 2
|
7月前
|
存储 Linux Android开发
Volatility3内存取证工具安装及入门在Linux下的安装教程
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
1013 0
|
5月前
|
监控 安全 Linux
在Linux中,如何配置VPN服务?
在Linux中,如何配置VPN服务?
|
8月前
|
边缘计算 网络协议 网络安全
【网络安全 | 信息收集】CDN的判断与绕过、nslookup基本使用
【网络安全 | 信息收集】CDN的判断与绕过、nslookup基本使用
769 0
|
8月前
|
前端开发 JavaScript 安全
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
1298 0