[GHCTF 2024 新生赛]皆非取证wp

原创已于 2024-12-12 22:55:17 修改 · 605 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

于 2024-12-12 22:31:40 首次发布

NSSCTF 专栏收录该内容

2 篇文章

订阅专栏

附件下载下来是一个vmem是一个虚拟内存文件，保存有镜像的一些信息

首先分析文件的镜像信息：

vol.py -f chall.vmem imageinfo

得到操作系统信息是Win7SP1x64

接着扫描内存镜像中文件系统的条目：

vol.py -f chall.vmem --profile=Win7SP1x64 filescan | grep zip

根据扫描结果得知里面藏有一个zip文件，因此要导出这一个文件：

vol.py -f chall.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dafd070 -D .

其中-Q指定的偏移量为黄色箭头指向部分

发现导出来的是一个DAT文件，因此我们还需要使用foremost工具进行分离

将文件拖进去kali虚拟机中，使用kali自带的foremost进行分离：

foremost file.None.0xfffffa801af02dc0.dat

分离后得到一个压缩包，解压缩发现需要密码：

因此回去继续查找密钥，使用mimikatz插件或者passware kit可得到密钥：

vol.py--plugin=/home/shd/tool/volatility-master/contrib/plugins -f chall.vmem
--profile=Win7SP1x64 mimikatz

得到密钥后，解压缩，得到flag:

flag{My_p4sSw0Rd_YOu_Kn0w_N0w~23bcd63aae90}

菜鸡一枚，写得不好忽喷，有写错的也请帮忙指出来。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

hhhh9504

关注关注

12
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析

Aluxian_的博客

01-18

2148

现在，A 集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A 集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。A 集团的 WebServer 服务器被黑客入侵，该服务器的 Web 应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，和残留的关键证据信息。请认真阅读以下指引！

[GHCTF 2024 新生赛]皆非取证

weixin_63120327的博客

06-06

224

文件太多过滤一下，我想先过滤Desktop试试。用volatility_2.6查看。没想到直接发现flag2的压缩包。用filescan命令查看文件。用dumpfiles拿到桌面。把名字改为flag.zip。用pslist验证一下。输入密码得到flag。

参与评论您还未登录，请先登录后发表或查看评论

[GHCTF 2024 新生赛]是名取证wp

hhhh9504的博客

12-13

446

[GHCTF 2024 新生赛]是名取证…………查阅该工具的使用命令看到说dump出来的进程文件可以用string来查找flag，进行尝试。没想到flag3竟然在这里。

[GHCTF 2024 新生赛]理想国-wp

2302_80307588的博客

11-07

156

就可以得到flag，但是无法登录，所以需要使用jwt伪造cookie，但是缺少密钥，所以继续遍历目录，最后在/proc/self/environ发现了key。设置cookie为这个，使用search接口搜索flag，无果，直接爆破目录。这是是网站的接口数据，使用register接口注册账号。然后使用这个账号密码在login接口登录。打开题目，是一堆json数据。得到cookie，是jwt。最终爆破出来app.py。得到token，然后访问。分析源码，发现用户名是。

GHCTF2024新生赛三道取证题

ZhouShaoy的博客

02-16

510

将flag2.zip进行导出，然后进行解压，发现需要密码，尝试刚刚找到的用户名密码，解压出来flag2.txt，得到flag2。这里使用iehistory进行查看浏览器记录，发现了三个可疑的关于flag1的文件，然后依次对其排查。查看环境变量envars，对flag进行查看，得到flag3。使用filescan找到flag2.zip。[GHCTF 2024 新生赛]皆非取证。[GHCTF 2024 新生赛]是名取证。[GHCTF 2024 新生赛]佛说取证。解密找到最后的flag。这里找到箴言进行解密。

[GHCTF 2024 新生赛] | Reverse

ULGANOY的博客

03-13

1558

GHCTF 2024 新生赛 | 部分 Reverse

GHCTF 2025 web 萌新初探wp

Python1111111的博客

03-10

2832

GHCTF WP

2024年盘古石杯服务器取证wp

qq_51233573的博客

05-12

3235

由此可以判断黑客通过/Home/User/tkpwdpost.html 存在的sql注入将上传接口tmpugklv.php写到网站的根目录下再通过上传接口将一句话木马上传。根据修改时间判断也是后续上传上去的文件继续向前回溯 18时51分48秒的时候通过sql注入将tmpugklv.php 写道网站当中。再将sql文件导入数据分析工具当中查看userlog表结合受害人的聊天记录可以判断受害人第一次成功登录网站的时间为。根据导出的数据库备份文件可以看出数据库表的前缀 think_

2024 年全国网络安全行业职业技能大赛-电子数据取证分析师-决赛WP_2024网络安全行业赛取证

2401_84970250的博客

05-11

1461

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

2024GHCTF的三道取证题

WTT001的博客

12-02

555

这个是密码，解压得flag。

[GHCTF 2024 新生赛]UP+

YYueHua5的博客

04-21

1195

查壳发现壳被加密用WinHex可以改过来之后去壳加密就是一个典型的RSA加密。

BeginCTF 2024（新生赛道）WP-P1sc3s007

Pisces50002的博客

02-06

1611

卡版本很恶心，必须下载python3.8再使用pyinstxtractor.py才能提取出作者自定义的一些文件。中间涉及到rc4，但是最后用于比对的key2和str1经过同一个S盒的RC4加密，等于没加密。几个长得像key的几个字符串是有用的，排除干扰之后逻辑非常简单。原本在手搓，但实际上只要找一个编译器跑一遍就可以。几个问答全都没用，看中间关键的几个加密函数。算法不复杂，就是大量的异或，慢慢还原就好。解密的时候记得异或一下key就可以了。还是解不出来，看一下引用的sm4（

GHCTF 2024 Web

weixin_45906533的博客

05-07

4164

GHCTF2024 Web wp

CTF利用大佬们的webshell拿取flag

Javachichi的博客

04-27

1064

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这份完整版的网络安全（黑客）全套学习资料已经上传至优快云官方，朋友们如果需要点击下方链接即可前往获取【保证100%免费】。我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。学习黑客常用的开发软件都在这里了，给大家节省了很多时间。比较早的一场CTF了，做了几个web。而upload最为显著了，发现存在目录遍历。

[GHCTF 2024 新生赛]UP+——入土为安的第一天

lzx13290757580的博客

07-05

1088

脱完壳发现有256这个特殊的数，是rc4类型的题，最后有一个异或。注意：这道题需要脱壳，而且需要改特征值，详细请看。

GHCTF 2024 新生赛 PermissionDenied

hddi1的博客

01-07

1287

上传。

一文解读，网络安全行业人才需求情况《网络安全产业人才发展报告》

weixin_59086772的博客

10-18

8850

随着近几天国家网络安全宣传周在全国各地开展活动，网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里，惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何？该怎么提升自我能力，更快地加入网安行列。今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。一、网络安全行业市场发展情况网络时代生活越来越离不开网络，与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障，个人和企业等重.

【嵌入式AIoT】系统架构与轻量化模型部署：面向智能家居与工业监测的边缘智能终端实战设计

最新发布

12-21

内容概要：本文系统介绍了嵌入式AIoT应用场景的实战方法与实践路径，涵盖从场景选择、系统架构设计到AI模型部署、通信与数据管理的全流程。重点阐述了嵌入式系统与人工智能、物联网技术的融合，强调在资源受限环境下实现感知、分析与决策一体化的智能终端系统。文章详细解析了感知层、边缘计算层和云端服务层的协同机制，突出边缘侧数据处理与轻量化AI模型优化的重要性，并倡导以实际需求为导向，避免“为AI而AI”的设计误区。同时，强调系统稳定性、远程维护和长期运行能力的建设。; 适合人群：具备嵌入式系统基础、物联网或AI相关背景，有一定开发经验的工程师或工作1-3年的技术研发人员；适用于希望深入理解AIoT系统集成与实战落地的学习者。; 使用场景及目标：①智能家居、工业监测、智慧农业等分布式智能系统开发；②在算力、功耗受限的嵌入式设备上实现AI推理与边缘智能；③构建高效、可靠、可维护的端云协同AIoT系统。; 阅读建议：建议结合实际硬件平台进行项目化学习，边学边练，重点关注系统架构设计、模型优化与通信协议选型，注重整体系统思维的培养，而非仅关注单一技术点。

2024盘古石杯晋级赛APK取证

01-06

### 关于2024盘古石杯晋级赛中APK取证的相关信息 #### 一、初步准备为了有效地进行APK取证工作，在开始之前需准备好必要的工具和环境。这通常包括但不限于安装Android SDK以及一些辅助性的逆向工程软件，比如Apktool用于反编译APK文件，Jadx-GUI作为图形界面版的Java字节码查看器等。 #### 二、获取并解析目标APK 对于参赛者来说，获得官方提供的比赛样本是非常重要的一步。一旦得到了待分析的应用包(APK)，可以利用上述提到的工具对其进行静态分析。例如，使用`apktool d your-app.apk`命令来提取资源文件与配置清单等内容[^1]。 ```bash apktool d your-app.apk -o output_folder/ ``` 此过程能够帮助理解应用程序内部结构及其可能存在的恶意行为模式。 #### 三、动态调试与监控网络流量除了静态方法外，还可以采用更深入的方式——即通过设置虚拟设备或真实手机配合ADB(A ndroid Debug Bridge)来进行实时跟踪操作。这样不仅可以观察到运行期间产生的日志信息，还能捕获所有进出该APP的数据流，这对于发现潜在的安全漏洞至关重要[^2]。 #### 四、查找敏感数据存储位置根据以往经验分享中的提示，某些关键证据可能会被储存在特定路径下的XML或其他格式文档内。因此建议重点检查类似`/data/data/package_name/shared_prefs/*.*`这样的目录下是否有可疑条目，特别是那些涉及账户认证凭证的地方[^4]。 #### 五、综合研判形成结论报告最后阶段则是整理前面所收集的一切线索，并尝试还原整个事件发生的经过。撰写一份详尽的技术说明文档，清晰指出每一个环节的具体情况及依据所在，从而完成最终的任务提交。