BMZCTF-内存取证三项

blog 249

背景描述:一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。

1.小黑写的啥,据说是flag?

2.那么问题来了,小白的密码是啥?

3.小黑发送的机密文件里面到底是什么

题目地址:内存取证三项

0x01 imageinfo 获取镜像信息

vol.py -f flag.raw imageinfo
BMZCTF-内存取证三项

通过结果发现,系统是WinXPSP2x86版本。一般我们只看第一个就行

0x02 pslist 获取进程列表

vol.py -f flag.raw --profile=WinXPSP2x86 pslist
BMZCTF-内存取证三项

通过进程列表我们发现几个可疑的进程。

第一问:小黑写的是啥?据说是flag

notepad.exe(Windows的记事本),cmd.exe(Windows的命令行),nc.exe(连接工具)。这是不用注意DumpIt.exe它是一个镜像打包工具

0x03 notepad 查看记事本内容

vol.py -f flag.raw --profile=WinXPSP2x86 notepad

windowsXP系统使用插件notepadwin7以上使用editbox查看记事本内容

BMZCTF-内存取证三项

发现写了666C61677B57336C6563306D655F376F5F466F72336E356963737D暂时不知道有什么用

0x04 cmdscan查看命令行的操作

vol.py -f flag.raw --profile=WinXPSP2x86 cmdscan
BMZCTF-内存取证三项

发现它使用nc工具共享了一个压缩包

0x05 filescan 查找文件

vol.py -f flag.raw --profile=WinXPSP2x86 filescan |grep "P@ssW0rd_is_y0ur_bir7hd4y.zip"
BMZCTF-内存取证三项

根据文件名提示。它说密码是你的生日。例如你的生日2004年07月07日。那么它就是20040707是一个八位纯数字

0x06 dumpfiles 保存文件

 vol.py -f flag.raw --profile=WinXPSP2x86 dumpfiles -Q 虚拟地址 -D 保存的路径
 vol.py -f flag.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./
BMZCTF-内存取证三项

将保存出来的文件file.None.0xff6d3410.dat重命名为P@ssW0rd_is_y0ur_bir7hd4y.zip

尝试解压文件。发现需要密码,根据文件名提示。我们尝试生成一个该特征的密码字典

BMZCTF-内存取证三项

0x07 破解字典密码

使用工具ARCHPR设置攻击类型为掩码。将掩码位置设置8个????????。之后在暴力破解范围选项中勾选0-9位数字,因为生日密码一般都是一个8位纯数字。我们点击开始

BMZCTF-内存取证三项

之后密码被成功破解出来了,密码是19950101

BMZCTF-内存取证三项

成功获得flag:flag{Thi5_Is_s3cr3t!}

分享