系统相关
首页 > 系统相关> > 内存取证CTF-Memlabs靶场5

内存取证CTF-Memlabs靶场5

作者:互联网

1.挑战说明

我们最近从客户那里收到了这个内存转储。有人在他不在时访问了他的系统,他发现正在访问一些相当奇怪的文件。 找到这些文件,它们可能很有用。我引用他的确切陈述,名字不可读。 它们由字母和数字组成,但我无法弄清楚它到底是什么。此外,他注意到他最喜欢的应用程序每次运行时都会崩溃。 是病毒吗?

注 1:此挑战由 3 个Flag组成。 如果您认为第二个标志是结束,它不是!

注 2:挑战时有一个小错误。 如果您发现任何具有字符串“L4B_3_D0n3!!”的字符串 在里面,请把它改成“L4B_5_D0n3!!” 然后继续。

注 3:只有在拥有第一阶段标志时,您才会获得第二阶段标志。

靶机地址:MemLabs/Lab 5 at master · stuxnet999/MemLabs · GitHub

2.Flag1

2.1 获取镜像操作系统版本

操作系统版本为:Win7SP1x64

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw imageinfo

2.2 获取IE历史记录

得到敏感文件SW1wb3J0YW50.rarZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ.bmpPassword.pngHidden.kdbx

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 iehistory

2.3 尝试提取文件

4个敏感文件只有一个能够提取,提取SW1wb3J0YW50.rar

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 filescan |grep SW1wb3J0YW50.rar
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eed56f0 -D ../memlabs/lab5
mv file.None.0xfffffa80010b44f0.dat SW1wb3J0YW50.rar

2.4 尝试访问SW1wb3J0YW50.rar

发现需要密码,且没有任何注释,我们先放一边

2.5 我们发现bmp图片的名字有点像base64,尝试进行解码

解码前:ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ

base64解码后:flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}

得到第一个Flag!

3.Flag2

3.1 尝试解压

因为我们先前已经得到一个Rar压缩文件,我们尝试用第一个flag进行解压

输入密码:flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}

成功解压!

3.2 查看图片内容

很幸运,我们得到了第二个Flag

Flag2内容为:flag{W1th_th1s_$taGe_2_1s_cOmPL3T3_!!}

4.Flag3

4.1 使用pstree发现可疑进程 NOTEPAD.EXE

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 pstree

4.2 尝试提取Pid为2724和2056的程序,只有2724提取成功

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 procdump -p 2724 -D ../memlabs/lab5

4.3 使用IDA进行分析,取到Flag3,即bi0s{M3m_l4b5_OVeR_!}

标签:Win7SP1x64,memlabs,Lab5,py,Desktop,CTF,lab5,Memlabs,靶场
来源: https://blog.csdn.net/qq_42947816/article/details/122763454