2021寒假MISC打卡DAY17

最新推荐文章于 2025-03-31 17:36:02 发布
原创 最新推荐文章于 2025-03-31 17:36:02 发布 · 508 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

本文详细记录了一次内存取证的过程,涉及[V&N2020公开赛]中的一道题目。通过分析内存dump,使用Gimp工具从mspaint.exe中提取密码,利用Editbox插件解析notepad.exe中的无效网盘链接,最后借助Elcomsoft Forensic Disk Decryptor和VeraCrypt成功解密TrueCrypt容器,获取到fffflag.zip文件。

  1. [V&N2020 公开赛]内存取证

http://dd.zhaoj.in/3ehg38dgey84d3dhou32d3/mem.raw
得到的 flag 请包上 flag{} 提交。

Hint:记事本

这是一道复现地很费劲的题😂

得到mem.raw和VOL(VOL对应后面链接失效的地方,按下不表)

内存取证起手式:

volatility -f mem.raw imageinfo

得到可能版本后

volatility -f mem.raw --profile=Win7SP1x86_23418 pslist

查看进程

6mEkTO.png

关注

TrueCrypt.exe 3364
notepad.exe 3552
mspaint.exe 2648

分别dumpit

volatility -f mem.raw --profile
最低0.47元/天 解锁文章
[RoarCTF2019]forensic(内存取证)
4pri1
05-25 2208
volatility 基本思路:先看看操作系统,然后查一下进程和内存信息,把可能有问题的dump出来,然后借助linux本身的一些工具分析。 首先用 volatility -f ./mem.raw imageinfo 查看系统信息 这里重点关注 Suggest Profiles 和 data and time 然后看一下进程信息 volatility -f ./mem.raw pslist --profile=Win7SP1x86 这四个进程对应的是最可能存在问题的用户创建...
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 14万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
第二周——学习内存取证神器volatility的使用
weixin_43721828的博客
03-18 2889
第二周——学习内存取证神器volatility的使用 volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等 第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418 Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search...
内存取证 && volatility工具(持续更新)
苦行僧的妖孽日常
10-03 2176
中国工业互联网安全大赛writeup
CTF类题目复现总结-[MRCTF2020]Hello_ misc 1
最新发布
weixin_42487326的博客
03-31 1604
CTF类题目复现总结-[MRCTF2020]Hello_ misc 1
2021寒假MISC打卡DAY14
煤矿路口西的博客
03-01 2920
[INSHack2017]hiding-in-plain-sight foremost flag{l337_h4xx0r5_c0mmun1c473_w17h_PNGs} [网鼎杯 2020 青龙组]虚幻2 得到的 flag 请包上 flag{} 提交。 不明全部,稍做记录。 得到一张类似二维码的小图 将其分离出rgb三个通道(笔者用的stegsolve) 根据拼接,得到类似汉信码 存在一定的爆破和容差 from PIL import Image from random import r.
2021寒假MISC打卡DAY6
煤矿路口西的博客
01-18 502
[UTCTF2020]basic-forensics 第一题完全没难度,后缀名为jpeg,但打不开。二进制查看搜索flag得 utflag{fil3_ext3nsi0ns_4r3nt_r34l} 电动车(?)地址位 [SCTF2019]电单车 得到的 flag 请包上 flag{} 提交。 得到一份音频文件,利用Audacity打开,观察频谱,得到一串长短波 0 0111010010101010 0 110 0010 0 011101001010101001100010 参考以下文章 ht.
2021寒假MISC打卡DAY13
煤矿路口西的博客
02-28 1097
[INSHack2018]Self Congratulation(https://buuoj.cn/challenges#[INSHack2018]Self%20Congratulation) 注意:得到的 flag 请包上 flag{} 提交 明显图片中存在一块类似二维码的黑白块 考虑转换为二进制 001100010011001000110011001101000011010100110110001101110011100000 转换为ascii失败 转换为字符串https://w...
2021寒假MISC打卡DAY15
煤矿路口西的博客
03-02 442
大流量分析(二) 黑客对A公司发动了攻击,以下是一段时间内获取到的流量包,那黑客使用了哪个邮箱给员工发送了钓鱼邮件?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交 发送协议找SMTP,尝试提交相关邮箱, flag{xsser@live.cn} [INSHack2017]remote-multimedia-controller 一堆流...
[MRCTF2020]Hello_ misc
zip471642048的博客
07-28 961
把这些值转化为二进制,提取前两位,得到rar的解压密码rar-passwd0ac1fe6b77be5dbe。打开发现这个zip文件也是有密码的,trytorestoreit.png这个图片里面还有一张图片。解压flag.rar文件得到一个fffflag.zip,发现是docx文件,用pdf打开,修改字体颜色。base64多行解密,替换1为空格得到flagflag{He1Lo_mi5c~}解压第一个提取出来的zip文件,得到一个txt文件。......
ctf 内存取证的一些命令
舞动的獾
11-12 9133
内存取证 相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件 常用命令 在kali下用工具volatility 查看系统信息 volatility -f mem.raw imageinfo 如下显示的系统都有可能,可以一个个的试试 查看运行程序列表 volatility -f mem.raw --profile=Win7SP1x64 pslist ...
BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证
pone2233的博客
10-29 4090
题目介绍 这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加。 BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证 P1 我们使用volatility,进行镜像分析 volatility -f mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1622
打开 下载到mem.rawmem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
记一次奇怪的truecrypt解密,隐藏分区的MasterKey
fjh1997的博客
05-06 4155
地址 题目地址: https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81 参考了夏风大佬的博客: https://blog.xiafeng2333.top/ctf-25/ 说明 在这道题里面,最终的一个VOL加密文件,可以通过passphr...
电子取证
m0re's blog
09-27 4998
jarvisoj Simple Injection
2021年“莲城杯”网络安全大赛-Misc-解密试试
qq_43264813的博客
10-13 859
2021年“莲城杯”网络安全大赛-Misc-解密试试 题目名称:解密试试 题目内容:解密试试 题目分值:300.0 题目难度:困难 相关附件:mem的附件.7z 解题思路: 1.raw文件,内存取证题 进入.raw文件所在目录,输入命令判断该文件内存进程 volatility.exe -f mem.raw imageinfo 2.可以得到profile类型WinXPSP2x86,filescan保存一下 volatility.exe -f mem.raw --profile=WinXPSP2x86 f
内存分析—Windows
山兔的博客
08-18 1552
1、从计算机进行内存捕获可以通过多种方式完成,处于打开状态的计算机可以使用以下工具之一捕获内存:FTK ImagerRedlineDumpIt.exe这些工具通常会输出一个 .raw 文件,其中包含系统内存的镜像。.raw 格式是最常见的内存文件类型之一。2、只要驱动器未加密,处于关闭状态机器就可以相对轻松地提取内存。对于 Windows 系统,可以通过拉取以下文件来完成:%SystemDrive%/hiberfil.syshiberfil.sys,是Windows 休眠文件。
[V&N2020 公开赛]内存取证
volcano的博客
04-08 5650
题目地址: https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证 这题用到的内存取证分析工具是Volatility 关于这个工具的具体命令非常多,可以在官方页面仔细看看 解题 先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。 ...
内存取证之volatility及案例演示
m0_46467017的博客
08-27 3675
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛题目。......
dasctf misc2021
03-08
### DASCTF MISC 2021 题目与解题报告 对于DASCTF MISC 2021的相关题目和解题报告,虽然特定年份的具体资料可能较为零散,但从已有的资源可以推测出一些通用的方法和技术来解决这类问题。 #### 流量分析技术 流量分析是MISC类别中的一个重要方面。通过捕获并解析网络通信数据包,能够揭示隐藏的信息或者理解攻击者的行为模式[^2]。例如,在某些比赛中可能会遇到需要从HTTP请求响应中提取秘密信息的任务。 #### 编码与加密挑战 许多MISC类型的题目涉及到不同形式的数据编码或简单加密算法的应用。参赛选手需掌握Base64、十六进制转换以及更复杂的密码学概念以便快速识别并解开谜团[^1]。 #### 文件格式探索 图片文件(如PNG)、文档和其他多媒体载体常常被用来作为隐写术的媒介。了解这些文件内部结构有助于发现嵌入其中的秘密消息。比如png_master这道题就展示了如何利用图像元数据获取最终答案[DASCTF{2fd9e9ff-e27d-5405-c5f5-a19131f86216}] [^3]. #### 实际案例研究 为了更好地准备类似的竞赛项目,建议参考过往比赛期间发布的write-up文章。它们不仅提供了详细的解决方案说明,还分享了许多实用的小贴士。例如,《DASCTF八月misc部分题目复现》记录了几种有效应对USB设备相关难题的方式[^4]。 尽管上述链接主要集中在其他年度的比赛上,但所描述的技术同样适用于寻找有关DASCTF MISC 2021的内容。可以通过搜索引擎查询关键词"DASCTF MISC 2021 writeup" 或访问GitHub上的CTF Writeups仓库找到更多针对性材料。 ```python import requests from bs4 import BeautifulSoup def search_ctf_writeups(query): url = f"https://google.com/search?q={query}" response = requests.get(url) soup = BeautifulSoup(response.text, 'html.parser') results = [] for item in soup.select('.tF2Cxc'): title = item.find('h3').get_text() link = item.find('a')['href'] snippet = item.find('span', class_='st').get_text() result = { "title": title, "link": link, "snippet": snippet } results.append(result) return results[:5] search_results = search_ctf_writeups("DASCTF MISC 2021 writeup") for i, res in enumerate(search_results, start=1): print(f"{i}. {res['title']}\n Link: {res['link']}\n Snippet: {res['snippet']}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值