任务2:内存取证 | ||
---|---|---|
序号 | 任务描述 | 答案 |
1 | 从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位); | |
2 | 获取当前系统ip地址及主机名,以Flag{ip:主机名}形式提交; | |
3 | 当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交; | |
4 | 恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交。 | |
5 | 从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交; |
分析镜像系统
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem imageinfo
一般用第一个作为系统版本
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hashdump
查看用户和密码(不是明文)一般破解不出来
尝试下破解密码
ctrl+shirt+t快捷打开新窗口
vi 1.txt
将密码写入wq保存
cat 1.txt
破解密码
john 1.txt
自动分析密码类型,使用默认字典,
kali字典位置
cd /usr/share/wordlists
使用默认字典破解
john --wordlist=/usr/share/wordlists/rockyou.txt --format=LM 1.txt
windows使用--format=NTLM
显示没成功
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 lsadump
使用lsadump
所以密码就是H8d*or
看到开放端口
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan
所以本机IP就是192.168.232.129
查看注册表内容
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hivelist
如何查看注册表中有哪些表项
-o 指定虚拟地址Virtual printkey
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey
-K "指定表" K是大写
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"
有用的是Control
加反斜杠\ 进入下一层
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
有用的是ComputerName
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
用户名就是CXKKA2ZCLKN
这个路径是固定的,记一下
查看连接次数较多,程序名比较诡异的,可能就是向外连接的挖矿地址
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan
挖矿地址就是51.254.84.37
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pslist
pslist可以查看内存中所有的进程
等同于windows下tasklist
windows下关闭进程
taskkill /pid 3988
-p 指定pid
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pslist -p 1716
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pstree
pstree 可以树状显示进程
explorer 就是windows文件资源管理器
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 svcscan
svcscan可以查看所有服务
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 filescan
filescan查看内存中所有文件
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 filescan | grep -i "txt\|png\|jpg\|flag\|desktop\|gif"
-i 不区分大小写,
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ./
-Q 进程号 -D 指定导出位置 ./当前目录
再将flag.txt导出
将两个文件复制到物理机,使用010打开,分析很明显是两张图片能组成一张
用末尾图片复制到开头图片00位置保存
标签:neicun,取证,--,vmem,内存,lin64,volatility
From: https://www.cnblogs.com/yang-ace/p/17971061