记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

陇剑杯之内存分析

2021-09-15 13:46

昨天经历了陇剑杯网络安全大赛,结果,实在没想到呀,选择错的比大题还多。你说他不是CTF吧,他还就是CTF,你说他是CTF吧,他其实就是完形填空。


网管小王制作了一个虚拟机文件,让您来分析后作答:



根据题目,可以使用内存取证工具

Volatility

来进行密码获取


Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。


特点:

  • 开源:Python编写,易于和基于python的主机防御框架集成。

  • 支持多平台:Windows,Mac,Linux全支持

  • 易于扩展:通过插件来扩展Volatility的分析能力


安装分为三步走:

  1. 下载

  2. 安装必要的python依赖文件

  3. 安装本体


你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以通过github去获取源码:


git clone https://github.com/volatilityfoundation/volatility.git


软件官方GitHub:https://github.com/volatilityfoundation


获取支持python2的软件:

https://github.com/volatilityfoundation/volatility


获取支持python3的软件:

https://github.com/volatilityfoundation/volatility3


如果只是用Volatility本体的话,这些依赖是没必要装的,但是如果你想用某些插件,还是把以下这些必备的依赖包装上吧。


Distorm3:牛逼的反编译库

pip install distorm3



Yara:恶意软件分类工具

pip install yara


PyCrypto:加密工具集

pip install pycrypto


PIL:图片处理库

pip install pillow


OpenPyxl:读写excel文件

pip install openpyxl


ujson:JSON解析

pip install ujson


如果你用的是独立的win、linux、mac执行文件,那就不必安装了。只要用python去执行就好。

若是下载了压缩文件,那你可以选择直接运行python主程序,也可以选择使用python setup.py install的方式将Volatility以一个库的形式安装在系统的特定位置上,从而以后我们可以将Volatility作为一个库在其他脚本中去引用其namespace。


先通过 imageinfo 获取系统信息


python2 vol.py -f Target.vmem imageinfo



使用hashdump命令获取用户名


python2 vol.py -f Target.vmem --profile=Win7SP1x64 hashdump


lsadump命令获取最后登录的用户


python2 vol.py -f Target.vmem --profile=Win7SP1x64 lsadump



可以直接使用mimikatz插件获取flag


插件下载地址:https://github.com/ruokeqx/tool-for-CTF




python2 vol.py -f Target.vmem --profile=Win7SP1x64 mimikatz




获取flag flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}


┌──(root

知识来源: https://mp.weixin.qq.com/s?__biz=MzU1Mjk3MDY1OA==&mid=2247493130&idx=1&sn=632831ccf69d0affa2a4cb5303ff9bd7

阅读:17129 | 评论:0 | 标签:内存 分析

想收藏或者和大家分享这篇好文章→复制链接地址

“陇剑杯之内存分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云