分析環境:kali-2020
取證工具:volatility
分析工具:binwalk、foremost
這裡就到了usb記憶體取證分析的環節
1.先用binwalk看看這個檔案有個了解
2.開始取證分析
2.1 獲取–profile的引數以便於我們接下來的繼續取證分析
使用imageinfo外掛程式來猜測dump檔案的profile值:winxpsp2x86
(這裡雖然沒有發現什麼特別可疑的程序不過cmd.exe有可能存在可疑的的命令)[^1]
2.3 提取記憶體中保留的 cmd 命令使用情況
果然發現有發現這裡有乙個可疑的命令,passwd:weak_auth_top100
是個密碼?但是目前為止好像沒有發現需要密碼的沒關係先存下來後面會用到[^1]
2.4 查詢程序存在的可疑字元
通過strings命令檢視程序中有無關於flag的文字提示
strings -e l data.vmem |
grep flag
2.5 檢視記憶體映象中的檔案
strings -e l data.vmem |
grep flag.zip
strings -e l data.vmem |
grep flag.img
volatility -f data.vmem –profile=winxpsp2x86 filescan |
grep -e 'zip'
volatility -f data.vmem –profile=winxpsp2x86 filescan |
grep -e 'img'
我們先把該可疑檔案dump下來然後進行下一步分析
[^1]
volatility -f data.vmem –profile=winxpsp2x86 dumpfiles -q 0x0000000001155f90 -n --dump-dir=./1.掃瞄檔案
我們用binwalk對這個檔案掃瞄一下對它有乙個大概了解
掃瞄到存在zip檔案並且這個檔案內部包含了乙個usbdata.txt檔案[^1]
2.提取檔案分析
嘗試解壓但是發現被加密了[^1]
這裡就要用到之前發現的cmd歷史命令中發現的密碼輸入發現可以解壓。
3.文件分析
我們開啟解壓出來的文件
好像是鍵盤的請求包8個位元組當然有很多是00的填充字[^1]
4.資訊解密
這裡我是直接指令碼跑的
指令碼就先不貼了寫的有點爛就不誤導大家了網上類似的指令碼也有大家可以自己去搜搜看[^1]
2023年春秋杯新春戰「疫」網路安全公益賽 盲注
上週舉辦的線上ctf,因為想總結一些sql注入,就把這道題拿出來回憶一下,可能記憶會有誤差。給了原始碼和flag所在位置,明顯考的是繞過waf,先測試過濾了以下waf select information union 該題沒有任何回顯,所以只能使用時間盲注。不過由於給出了flag所在位置,不需要查詢...
高校的網路安全令人擔憂
自己本身就在高校工作,所以對高校本身的網路安全比較留意 結果發現在廣州比較有名的高校中,主站點還算安全,但到了各院系負責的子站點時,就出現了很多的問題 包括了省內有名的幾間高校,都是有問題的 測試過程中,我也進入了幾個高校的部分伺服器,結果發現那些伺服器早已被別人安裝了不少後門,而且這些後門安裝得也...
2020網際網路安全城市巡迴賽 雲端賽 邀你來戰
沒有網路安全,就沒有 近年來隨著5g網路 大資料中心 人工智慧等 新基建 的加快推進,網路強國戰略的深入貫徹和落實,網路安全已受到社會各界高度重視。2020年全國 兩會 就網路安全問題也提出了若干提案。網路安全的主體是提供網際網路服務的企業,企業安全的主體是資訊系統的規劃者 建設者和運營者。高度資訊...