1.挑战说明

我们最近从客户那里收到了这个内存转储。有人在他不在时访问了他的系统，他发现正在访问一些相当奇怪的文件。 找到这些文件，它们可能很有用。我引用他的确切陈述，名字不可读。 它们由字母和数字组成，但我无法弄清楚它到底是什么。此外，他注意到他最喜欢的应用程序每次运行时都会崩溃。 是病毒吗？

注 1：此挑战由 3 个Flag组成。 如果您认为第二个标志是结束，它不是！

注 2：挑战时有一个小错误。 如果您发现任何具有字符串“L4B_3_D0n3!!”的字符串 在里面，请把它改成“L4B_5_D0n3!!” 然后继续。

注 3：只有在拥有第一阶段标志时，您才会获得第二阶段标志。

靶机地址：MemLabs/Lab 5 at master · stuxnet999/MemLabs · GitHub

2.Flag1

2.1 获取镜像操作系统版本

操作系统版本为：Win7SP1x64

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw imageinfo

2.2 获取IE历史记录

得到敏感文件SW1wb3J0YW50.rar、ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ.bmp、Password.png、Hidden.kdbx

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 iehistory

2.3 尝试提取文件

4个敏感文件只有一个能够提取，提取SW1wb3J0YW50.rar

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 filescan |grep SW1wb3J0YW50.rar
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eed56f0 -D ../memlabs/lab5
mv file.None.0xfffffa80010b44f0.dat SW1wb3J0YW50.rar

2.4 尝试访问SW1wb3J0YW50.rar

发现需要密码，且没有任何注释，我们先放一边

2.5 我们发现bmp图片的名字有点像base64，尝试进行解码

解码前：ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ

base64解码后：flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}

得到第一个Flag！

3.Flag2

3.1 尝试解压

因为我们先前已经得到一个Rar压缩文件，我们尝试用第一个flag进行解压

输入密码：flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}

成功解压！

3.2 查看图片内容

很幸运，我们得到了第二个Flag

Flag2内容为：flag{W1th_th1s_$taGe_2_1s_cOmPL3T3_!!}

4.Flag3

4.1 使用pstree发现可疑进程 NOTEPAD.EXE

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 pstree

4.2 尝试提取Pid为2724和2056的程序，只有2724提取成功

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 procdump -p 2724 -D ../memlabs/lab5

4.3 使用IDA进行分析，取到Flag3，即bi0s{M3m_l4b5_OVeR_!}

标签：Win7SP1x64,memlabs,Lab5,py,Desktop,CTF,lab5,Memlabs,靶场
来源： https://blog.csdn.net/qq_42947816/article/details/122763454