行业赛数据安全之内存镜像分析一
题目描述
由于管理员的误操作使某机器的内存镜像不慎泄露出去。请选手协助数据安全工程师进行内存取证分析,从泄露的内存镜像中找到登录该机器的密码和泄露的个人敏感信息。
- 请找到air账户的登录密码。使用32位小写md5进行加密处理,提交格式为flag{md5(xxxx)}。例如经分析后得到的结果为 abc123,通过计算 md5('abc123')=e99a18c428cb38d5f260853678922e03,则提交的答案为 flag{e99a18c428cb38d5f260853678922e03}。
知识点
内存镜像分析,volatility工具
WP
注意volatility为Python2环境下的内存取证工具,需要先激活python2的环境
首先使用imageinfo查看内存镜像的基本信息,特别是了解其profile。
# 获取到profile信息 python vol.py -f data.raw imageinfo ''' Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000 '''得知其profile为Win7SP1x64,一般是推荐的第一个
查看指定账号的密码,有两个思路,一是直接使用mimikatz查看明文密码,二是使用john破解hash密码
使用mimikatz直接获取明文密码
# 直接使用mimikatz得到明文 python vol.py -f data.raw --profile=Win7SP1x64 mimikatz ''' Module User Domain Password -------- ---------------- ---------------- ---------------------------------------- wdigest air WIN-5QSHI82PD7K admin123 wdigest WIN-5QSHI82PD7K$ WORKGROUP '''使用john破解hash密码
# 获取密文hash python vol.py -f data.raw --profile=Win7SP1x64 hashdump ''' Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: air:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f::: ''' # 使用john破解nt格式的hash密文 echo 'air:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f:::'>hash.txt john hash.txt --format=nt john hash.txt --format=nt --show # 查看爆破明文 ''' air:admin123:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f::: 1 password hash cracked, 0 left '''
- air账号的密码为admin123,进行md5处理后得到flag。
评论 (0)