行业赛数据安全之内存镜像分析二
题目描述
由于管理员的误操作使某机器的内存镜像不慎泄露出去。请选手协助数据安全工程师进行内存取证分析,从泄露的内存镜像中找到登录该机器的密码和泄露的个人敏感信息。
- 请找到泄露的个人敏感信息中“张三”的身份证号。使用32位小写md5进行加密处理,提交格式为flag{md5(xxxx)}。
知识点
内存镜像分析,volatility工具使用
WP
- 接着分析,查看访问的哪些文件或链接,发现xinxi.zip文件
# 查看ie浏览器的访问文件或链接情况
python vol.py -f data.raw --profile=Win7SP1x64 iehistory
'''
Process: 2336 explorer.exe
Cache type "URL " at 0x32b5300
Record length: 0x100
Location: :2023111720231118: air@file:///C:/Users/air/Desktop/xinxi.zip
Last modified: 2023-11-17 16:43:03 UTC+0000
Last accessed: 2023-11-17 08:43:03 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0x0
'''
# 查看桌面文件
python vol.py -f data.raw --profile=Win7SP1x64 filescan | findstr Desktop
'''
0x000000007faf6f20 2 1 R--rwd \Device\HarddiskVolume1\Users\air\Desktop
0x000000007fb42f20 16 0 RW---- \Device\HarddiskVolume1\Users\air\Desktop\xinxi.zip
'''- 找到文件位置并且导出压缩包文件
# 找到文件的内存地址
python vol.py -f data.raw --profile=Win7SP1x64 filescan | findstr xinxi.zip
'''
0x000000007fb42f20 16 0 RW---- \Device\HarddiskVolume1\Users\air\Desktop\xinxi.zip
'''
# 导出文件并且重命名
python vol.py -f data.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007fb42f20 -D .
mv file.None.0xfffffa8002167800.dat xinxi.zip- 发现压缩包需要密码,继续查找密码,查看剪切板上存在密码
# 查看剪切板
python vol.py -f data.raw --profile=Win7SP1x64 clipboard
'''
Session WindowStation Format Handle Object Data
---------- ------------- ------------------ ------------------ ------------------ --------------------------------------------------
5 WinSta0 CF_UNICODETEXT 0xc01ad 0xfffff900c0093d60 shuanadminjimishuju123
5 WinSta0 CF_TEXT 0xc122 ------------------
5 WinSta0 0x60163L 0x200000000001 ------------------
5 WinSta0 CF_LOCALE 0x1101fd 0xfffff900c0ed2100
5 WinSta0 0x0L 0x2100000001 ------------------
5 ------------- ------------------ 0x60163 0xfffff900c254c970
'''- 得到密码 shuanadminjimishuju123。 解压压缩包得到'"个人信息.csv"',可以查看到张三的身份证号,经过md5加密后得到flag
评论 (0)