分类 CTFgame 下的文章 - LXX@BLOG

首页壁纸sharing 留言Board About

推荐

百度谷歌 chatGPT

1 行业赛-数据安全之可疑日志分析一 14 阅读 2 解决windows环境下不能安装python扩展出现error: Unable to find vcvarsall.bat 9 阅读 3 windows下创建python2环境 6 阅读 4 windows环境下安装Crypto 4 阅读 5 PHP输出打印变量和字符串的几种方法 4 阅读

默认分类

技术分享

安全漏洞分析 CTF技巧网络运维 window技巧前端开发

心得体会资源分享工具分享 CTFgame 疑难杂症

编程学习

python学习 PHP学习

软件安装与更新

python package

登录 / 注册

标签搜索

国产系统
bclinux
python2.7
日志分析
隐藏文件
binwalk
foremost
CTF
内存镜像分析
volatility工具
linux系统
环境变量
ctf_web
kali linux
虚拟环境
python扩展包
攻击溯源
Crypto
pycryptodome
加解密

小星日记

累计撰写 30 篇文章
累计收到 45 条评论

首页
栏目
页面
推荐
- 百度
- 谷歌
- chatGPT

搜索到 7 篇与的结果

2024-04-08
1_信息泄露WP-1_DS_Store_实操题目详情：WP:查看.DS_Store路径发现下载一个.DS_Store文件http://111.33.14.218:27742/.DS_Store使用notepad++等软件或者程序打开此文件，发现隐藏信息flag_is_here.txt查找此文件http://111.33.14.218:27742/flag_is_here.txt，发现flagFLAG:flag{123444456}
- 2024年04月08日
- 1 阅读
- 0 评论
- 0 点赞
2024-04-08
1_信息泄露WP-1_DirectoryTraversal_实操 1_DirectoryTraversal_实操题目详情：WP：本题考察路径遍历，可依次遍历题目所给文件夹，最终在文件夹中遍历出flag.txtFLAG:flag{123456}
- 2024年04月08日
- 1 阅读
- 0 评论
- 0 点赞
2023-12-29
行业赛数据安全之数字水印分析行业赛数据安全之数字水印分析题目描述某日暗网交易了一张带有某机密数据的图片，请选手协助分析，找出机密内容。提交答案格式为flag{xxx}。知识点图片隐藏，图片分离，盲水印，数字水印提取WP使用binwalk进行图片分析，看有没有隐藏文件，发现至少存在两种png图片和一个zip压缩包binwalk 1.png ''' DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 0 0x0 PNG image, 1536 x 864, 8-bit/color RGB, non-interlaced 140 0x8C Zlib compressed data, best compression 1193560 0x123658 Cisco IOS microcode, for "" 1318977 0x142041 PNG image, 1536 x 864, 8-bit/color RGB, non-interlaced 2949139 0x2D0013 Zip archive data, encrypted at least v2.0 to extract, compressed size: 64, uncompressed size: 52, name: flag.txt 2949331 0x2D00D3 End of Zip archive, footer length: 22 '''使用foremost工具分离png和压缩包，得到两种png图片和一个zip压缩包foremost.exe 1.png发现压缩包需要解密，通过python盲水印提取两张图片中的水印python bwmforpy3.py decode 00000000.png 00002576.png 0.png水印中提示密码，进行压缩包解密可以得到flag文件，里面为一串base64编码，解码即可得到flag
- 2023年12月29日
- 2 阅读
- 0 评论
- 0 点赞
2023-12-29
行业赛数据安全之内存镜像分析二行业赛数据安全之内存镜像分析二题目描述由于管理员的误操作使某机器的内存镜像不慎泄露出去。请选手协助数据安全工程师进行内存取证分析，从泄露的内存镜像中找到登录该机器的密码和泄露的个人敏感信息。请找到泄露的个人敏感信息中“张三”的身份证号。使用32位小写md5进行加密处理，提交格式为flag{md5(xxxx)}。知识点内存镜像分析，volatility工具使用WP接着分析，查看访问的哪些文件或链接，发现xinxi.zip文件# 查看ie浏览器的访问文件或链接情况 python vol.py -f data.raw --profile=Win7SP1x64 iehistory ''' Process: 2336 explorer.exe Cache type "URL " at 0x32b5300 Record length: 0x100 Location: :2023111720231118: air@file:///C:/Users/air/Desktop/xinxi.zip Last modified: 2023-11-17 16:43:03 UTC+0000 Last accessed: 2023-11-17 08:43:03 UTC+0000 File Offset: 0x100, Data Offset: 0x0, Data Length: 0x0 ''' # 查看桌面文件 python vol.py -f data.raw --profile=Win7SP1x64 filescan | findstr Desktop ''' 0x000000007faf6f20 2 1 R--rwd \Device\HarddiskVolume1\Users\air\Desktop 0x000000007fb42f20 16 0 RW---- \Device\HarddiskVolume1\Users\air\Desktop\xinxi.zip '''找到文件位置并且导出压缩包文件# 找到文件的内存地址 python vol.py -f data.raw --profile=Win7SP1x64 filescan | findstr xinxi.zip ''' 0x000000007fb42f20 16 0 RW---- \Device\HarddiskVolume1\Users\air\Desktop\xinxi.zip ''' # 导出文件并且重命名 python vol.py -f data.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007fb42f20 -D . mv file.None.0xfffffa8002167800.dat xinxi.zip发现压缩包需要密码，继续查找密码，查看剪切板上存在密码# 查看剪切板 python vol.py -f data.raw --profile=Win7SP1x64 clipboard ''' Session WindowStation Format Handle Object Data ---------- ------------- ------------------ ------------------ ------------------ -------------------------------------------------- 5 WinSta0 CF_UNICODETEXT 0xc01ad 0xfffff900c0093d60 shuanadminjimishuju123 5 WinSta0 CF_TEXT 0xc122 ------------------ 5 WinSta0 0x60163L 0x200000000001 ------------------ 5 WinSta0 CF_LOCALE 0x1101fd 0xfffff900c0ed2100 5 WinSta0 0x0L 0x2100000001 ------------------ 5 ------------- ------------------ 0x60163 0xfffff900c254c970 '''得到密码 shuanadminjimishuju123。解压压缩包得到'"个人信息.csv"'，可以查看到张三的身份证号，经过md5加密后得到flag
- 2023年12月29日
- 2 阅读
- 0 评论
- 0 点赞
2023-12-28
行业赛数据安全之内存镜像分析一行业赛数据安全之内存镜像分析一题目描述由于管理员的误操作使某机器的内存镜像不慎泄露出去。请选手协助数据安全工程师进行内存取证分析，从泄露的内存镜像中找到登录该机器的密码和泄露的个人敏感信息。请找到air账户的登录密码。使用32位小写md5进行加密处理，提交格式为flag{md5(xxxx)}。例如经分析后得到的结果为 abc123，通过计算 md5('abc123')=e99a18c428cb38d5f260853678922e03，则提交的答案为 flag{e99a18c428cb38d5f260853678922e03}。知识点内存镜像分析，volatility工具WP注意volatility为Python2环境下的内存取证工具，需要先激活python2的环境首先使用imageinfo查看内存镜像的基本信息，特别是了解其profile。# 获取到profile信息 python vol.py -f data.raw imageinfo ''' Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000 '''得知其profile为Win7SP1x64，一般是推荐的第一个查看指定账号的密码，有两个思路，一是直接使用mimikatz查看明文密码，二是使用john破解hash密码使用mimikatz直接获取明文密码# 直接使用mimikatz得到明文 python vol.py -f data.raw --profile=Win7SP1x64 mimikatz ''' Module User Domain Password -------- ---------------- ---------------- ---------------------------------------- wdigest air WIN-5QSHI82PD7K admin123 wdigest WIN-5QSHI82PD7K$ WORKGROUP '''使用john破解hash密码# 获取密文hash python vol.py -f data.raw --profile=Win7SP1x64 hashdump ''' Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: air:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f::: ''' # 使用john破解nt格式的hash密文 echo 'air:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f:::'>hash.txt john hash.txt --format=nt john hash.txt --format=nt --show # 查看爆破明文 ''' air:admin123:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f::: 1 password hash cracked, 0 left '''air账号的密码为admin123，进行md5处理后得到flag。
- 2023年12月28日
- 1 阅读
- 0 评论
- 0 点赞

1
2

小星日记

30 文章数

45 评论量

人生倒计时

舔狗日记

2023 - 2024© Reach - LXX

已运行 00 天 00 时 00 分 00 秒

baidu 小星日记