搜索到
2
篇与
的结果
-
行业赛数据安全之内存镜像分析一 行业赛数据安全之内存镜像分析一题目描述由于管理员的误操作使某机器的内存镜像不慎泄露出去。请选手协助数据安全工程师进行内存取证分析,从泄露的内存镜像中找到登录该机器的密码和泄露的个人敏感信息。请找到air账户的登录密码。使用32位小写md5进行加密处理,提交格式为flag{md5(xxxx)}。例如经分析后得到的结果为 abc123,通过计算 md5('abc123')=e99a18c428cb38d5f260853678922e03,则提交的答案为 flag{e99a18c428cb38d5f260853678922e03}。知识点内存镜像分析,volatility工具WP注意volatility为Python2环境下的内存取证工具,需要先激活python2的环境首先使用imageinfo查看内存镜像的基本信息,特别是了解其profile。# 获取到profile信息 python vol.py -f data.raw imageinfo ''' Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000 '''得知其profile为Win7SP1x64,一般是推荐的第一个查看指定账号的密码,有两个思路,一是直接使用mimikatz查看明文密码,二是使用john破解hash密码使用mimikatz直接获取明文密码# 直接使用mimikatz得到明文 python vol.py -f data.raw --profile=Win7SP1x64 mimikatz ''' Module User Domain Password -------- ---------------- ---------------- ---------------------------------------- wdigest air WIN-5QSHI82PD7K admin123 wdigest WIN-5QSHI82PD7K$ WORKGROUP '''使用john破解hash密码# 获取密文hash python vol.py -f data.raw --profile=Win7SP1x64 hashdump ''' Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: air:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f::: ''' # 使用john破解nt格式的hash密文 echo 'air:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f:::'>hash.txt john hash.txt --format=nt john hash.txt --format=nt --show # 查看爆破明文 ''' air:admin123:1000:aad3b435b51404eeaad3b435b51404ee:3008c87294511142799dca1191e69a0f::: 1 password hash cracked, 0 left '''air账号的密码为admin123,进行md5处理后得到flag。 -
分析与分离图片中的隐藏文件方法总结 分析与分离隐藏在图片中的文件方法1. 背景分析CTF中会遇到给一张图片的情况,其中图片中可能会隐藏一些文件,比如另外的图片或者压缩包文件。2. 原理分析以jpg图片为例,一个完整的 jpg 文件由 FF D8 开头,FF D9结尾,图片查看器会忽略 FF D9 以后的内容,因此可以在 jpg 文件中加入其他文件。3. 图片分析可以使用binwalk进行分析,判断其中是否存在隐藏文件,kali中自带,也可以下载windows中安装# 分析图片 binwalk 1.png 在kali中 python -m binwalk 1.png 在windows中 # 发现存在多个文件 """ DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 0 0x0 PNG image, 1536 x 864, 8-bit/color RGB, non-interlaced 140 0x8C Zlib compressed data, best compression 1193560 0x123658 Cisco IOS microcode, for "" 1318977 0x142041 PNG image, 1536 x 864, 8-bit/color RGB, non-interlaced 2949139 0x2D0013 Zip archive data, encrypted at least v2.0 to extract, compressed size: 64, uncompressed size: 52, name: flag.txt 2949331 0x2D00D3 End of Zip archive, footer length: 22 """4. 分离图片文件注意binwalk分离隐藏一个文件没问题,但是多个文件的隐藏还是建议使用foremost分离4.1 使用binwalk分离-利用dddd if=1.jpg of=1.zip skip=48221 bs=1 解释:if 指定输入文件,of 指定输出文件,skip 指定从输入文件开头跳过48221个块后开始复制,bs设 置每次读写块的大小为1字节4.2 使用binwalk分离-自动分离# 在当前目录中生成分离的文件 python -m binwalk -e 1.png4.3 使用foremost工具分离# 在当前目录中生成分离的文件 foremost 1.png # 在kali中 foremost.exe 1.png # 在windows中4.4 使用hex编辑器人工分离hex编辑器有很多,win下有用得较多的010editor、winhex、UltraEdit等,linux下有hexeditor等搜索hex字符:zip文件的开头16进制为504B0304、png文件的开头为89504E47,找到这些幻数头,进行人工分离另存为新文件,然后根据幻数头修改文件后缀参考资料:分离图片中的隐藏文件方法总结 - 未完成的歌QAQ - 博客园 (cnblogs.com)【CTF工具】windows上使用binwalk工具 - 哔哩哔哩 (bilibili.com)
