CTF題記——取證小集合-有解無憂

前言

最近接觸到的取證類題目很多，所以就總結一下這類題，
不得不提的是Volatility這個神器，本次學習，結合幾個題目總結一下命令使用，還有一些大師傅的博客學來的知識，

"食用"方法

判斷鏡像資訊，獲取作業系統型別

volatility -f ?.img/raw/... imageinfo

知道作業系統型別后，用–profile指定

volatility -f ?.img --profile=...

查看當前顯示的notepad文本

volatility  -f file.raw --profile=WinXPSP2x86 notepad

查看當前運行的行程

volatility  -f file.raw --profile=WinXPSP2x86 psscan/pslist

掃描所有的檔案串列(常常結合grep)

volatility  -f file.raw --profile=WinXPSP2x86 filescan

根據offset提取出檔案

volatility  -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x.....

掃描 Windows 的服務

volatility -f file.raw --profile=WinXPSP2x86 svcscan

查看網路連接

volatility -f file.raw --profile=WinXPSP2x86 connscan

查看命令列上的操作

volatility -f file.raw --profile=WinXPSP2x86 cmdscan

根據pid dump出相應的行程

volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2580 -D 目錄

常用命令
m0re

題目

湖湘杯(取證)

一個G的raw檔案，工具分析就行了，
使用

#使用imageinfo引數查看記憶體是什么系統的鏡像
volatility -f men.raw imageinfo			#profile=Win7SP1x86_23418
#直接查看用戶名和密碼hash
volatility -f men.raw --profile=Win7SP1x86_23418 hashdump

然后看到三個用戶
m0re
使用彩虹表暴力猜解
hash猜解
m0re
密碼是qwer1234
題目是說的sha1(password)
所以再進行加密一下就可以了
m0re

BUU記憶體取證(VN)

首先查看鏡像資訊
m0re
列出行程，一般使用pslist當然還有其他的，pstree和psscan
m0re
記幾個重要的地方，一般是notepad.exe、TrueCrypt.exe 、mspaint.exe、iexplore.exe 、DumpIt.exe
簡單介紹：
mspaint.exe是一個畫圖軟體
notepad.exe是記事本，一般記事本中會有內容hint或者在記憶體中(還未保存)
DumpIt是一款綠色免安裝的 windows 記憶體鏡像取證工具，利用它我們可以輕松地將一個系統的完整記憶體鏡像下來，并用于后續的調查取證作業，
TrueCrypt.exe m0re
先將這些可疑行程dump下來，進行進一步的分析

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 2648 --dump-dir=./

類似這樣的，先分析畫圖的，需要使用一個工具gimp在linux中相當于photoshop一樣的軟體，直接安裝就可以

#在root權限下
apt-get update
apt-get install gimp

然后打開使用就可以了
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest
這個師傅講的如何使用這個軟體，
m0re
剛打開時，是默認解析度是0，高度和寬度都是350，先隨便調節一下，大概就是三個變數值都先調低一點，然后慢慢調高，
除錯很多次，慢慢調節出一些值，這個值可以參考windows系統自帶畫圖軟體的，我的是1628x440，修改一下，就開始改變解析度就可以了，下圖大概成型了
m0re
然后微調一下寬度就行,不過調過之后是反的，所以可以再調大一些，多調動嘗試最佳角度，
m0re
拿到了一個字串1YxfCQ6goYBD6Q
然后看下一步，提取記事本中的內容
這里介紹一個插件editbox可以顯示有關編輯控制元件的資訊，
使用命令

volatility -f men.raw --profile=Win7SP1x86_23418 editbox

m0re
網盤鏈接得到了，提取碼也得到了，就進行下一步
下載得到一個VOL檔案
m0re
然后就是TrueCrypt，這個dump下來不用進行其他操作，成功掛載到F盤，里面看到key 檔案
m0re
打開獲得uOjFdKu1jsbWI8N51jsbWI8N5
這個就是VOL掛載加密的key，然后使用TrueCrypt對VOL進行正常解密，
下載安裝TrueCrypt，我安裝到物理機上面了，直接使用，
密鑰填寫一下，選擇TrueCrypto模式
m0re
成功掛載
m0re
掛載后，可以在Z盤直接看到一個壓縮包
m0re
打開需要密碼，這個時候用到了畫圖時得到的密碼，
m0re

easydump

來源：護網杯2018-MISC-easydump
.img檔案，也是一種記憶體鏡像
使用取證神器直接跑
m0re
然后就是列出行程
pslist
最顯眼的還是這個notepad.exe了
m0re
然后dump下來2580.dmp,binwalk查看，資訊太多，直接foremost分離檔案，里面發現有用的就是兩個壓縮包，解壓是img檔案，但是這個檔案同樣使用volatility去跑，確沒有資訊，所以判斷這個不是記憶體鏡像檔案，
m0re
先strings看一下
m0re
發現好多資訊，然后將img檔案掛載在linux系統中，

mount -o loop message.img /root/Desktop/m0re

掛載后，可以切換到該目錄進行查看資訊

cd m0re/
ls -all		#查看所有檔案，一般隱藏資訊較多

然后在.Trash-0/file下看到一個.message.swp
轉存一下

cat .message.swp > m0re.txt
strings m0re.txt

m0re
可能是密碼什么的，保存一下
hint.txt檔案里面都是坐標，猜測是要畫圖
之前保存過畫圖的python腳本

from PIL import Image

with open('hint.txt','r') as f:
	points = f.readlines()

pic=Image.new('RGB',(600,600),'black')
pix=pic.load()

for i in points:
	i=i.strip().split(' ')
	pix[int(i[0]),int(i[1])]=(255,255,255)

pic.save('out.png','png')

得到二維碼
m0re
識別后得到

Here is the vigenere key: aeolus, but i deleted the encrypted message，

維吉尼亞密碼，密鑰是aeolus
密文不知道，前面的可疑字串有可能是密文
m0re
得到結果，這個題就有點雜了，

總結

學到這里，記憶體取證的基礎題已經可以應付了，這是第二次學習取證的知識，感覺很有意思，

參考博客

https://blog.xiafeng2333.top/ctf-25/
https://blog.xiafeng2333.top/ctf-11/
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/208535.html

標籤：其他

上一篇：kali網路滲透實驗一：網路掃描與網路偵查

下一篇：網路掃描與網路偵查