首页 > 系统相关 >第46届金砖国家世界技能大赛 内存取证样题一

第46届金砖国家世界技能大赛 内存取证样题一

时间:2024-08-13 23:38:08浏览次数:15  
标签:Users 46 mnt Desktop -- flag 内存 11714 样题

题目:

  1. 从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);
  2. 获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;
  3. 获取当前系统浏览器搜索过的关键词,作为 Flag 提交;
  4. 当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;
  5. 恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。(上题已经看到进程)
  6. 获取桌面上的flag.txt文件的内容是什么?
  7. 病毒在自我删除时执行的命令是什么?

题一

题目:

从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);

思路:

直接使用插件 mimikatz 获取用户名和密码,或者使用 lsadump 查看强密码
python2 vol.py  --plugins=/mnt/e/CTFtoos/取证分析/volatility2.6/plugins/ -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 mimikatz

image-20240808002116-8or19zl

image-20240808005152-hgs0c4g

在将密码进行 md5 解密

image-20240808004901-1lqno1c

flag为: flag{admin,dfsddew}

题二

题目:

获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

思路:

使用 netscan 查看网络连接 获取当前系统 ip
python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 netscan

image-20240808005553-zpy8rxg

主机名上面通过插件 mimikatz 已经获取为 WIN-9FBAEH4UV8C,也可以插件如下:

printkey -K "ControlSet001\Control\ComputerName\ComputerName"

 python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

image-20240808005836-0o8uo6x

flag为:flag{192.168.85.129:WIN-9FBAEH4UV8C}

题三

题目:

获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

思路:

使用 **iehistory** 查看浏览器历史记录
python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 iehisto
ry

image-20240808011249-3id86ej

flag为: flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

题四

题目:

当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

思路:

使用 netscan 插件查看网络状态,可以看到 54.36.109.161:2222  正在 ESTABLISHED(通信),这个端口是DDG挖矿病毒开放的端口
python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 netscan

image-20240808011734-357gtcy

flag为: flag{54.36.109.161}

题五

题目:

恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。(上题已经看到进程)

思路:

由上题可知挖矿程序的进程 id 为 2588,因此我们查找该进程是否存在父进程,使用插件 **svcscan**
python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 svcscan| grep '3036' -A 10

image-20240808013529-3s4xwr1

flag为: flag{VMnetDHCP}

题六

题目:

获取桌面上的flag.txt文件的内容是什么?

思路:

直接使用插件 filescan 扫描桌面的文件
python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 filesca
n | grep "Desktop"

image-20240808014420-orvxcz6

然在使用插件 dmpfiles 提取出来

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 -D  /mnt/c/Users/11714/Desktop/1

image-20240808021151-77xu3w0

image-20240808021212-2ls444o

flag为: flag{180d163ca48c793cb0db74fb96d6a882}

题七

题目:

病毒在自我删除时执行的命令是什么?

通过 pslist 插件我们可一发现病毒程序

python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 pslist

image-20240808021741-1u4egr2

解下来就是将这个程序提取下来 procdump

 python2 vol.py -f '/mnt/c/Users/11714/Desktop/1/worldskills3.vmem' --profile=Win7SP1x64 procdump -Q 0xfffffa801943fa30 -D  /mnt/c/Users/11714/Desktop/1

image-20240808022334-d5tikxc

ida 32 打开

image-20240808022739-9qmv02x

/c @ping -n 15 127.0.0.1&del

标签:Users,46,mnt,Desktop,--,flag,内存,11714,样题
From: https://www.cnblogs.com/lpppp/p/18357956

相关文章

  • 【C语言】内存管理函数详细讲解
    目录1.C语言内存管理函数详细讲解1.1`malloc`1.2`calloc`1.3`realloc`1.4`free`2.内存管理函数的深层理解2.1内存分配的原理2.2内存分配的性能考虑2.3动态调整内存块的大小2.4处理内存分配失败3.高级应用示例3.1内存池的实现3.2实现内存泄漏检测3.3内存......
  • Codeforces Round 946 (Div. 3)
    ###G.一眼看上去很想个背包,然后发现好像不大能做。考虑反悔贪心。对于当前的$c_i$,如果到现在攒的钱足够买这个,那就直接买了它。如果钱不够,就从之前的买过的里面把一个最大的给退掉,然后买这个,优先队列维护即可。```c++#include<bits/stdc++.h>#defineintlonglongu......
  • 学习:Java中的内存管理
    在Java中,对对象进行分配和取消分配的过程,称为内存管理。Java通过垃圾收集器(GarbageCollector,GC)实现了自动内存管理,这意味着开发者无需显式地释放对象所占用的内存。Java内存管理分为两个主要部分:JVM(Java虚拟机)内存结构垃圾回收器的工作一、JVM内存结构Java虚......
  • 内存泄漏的概念及其产生原因和规避手段
    Memoryleak内存泄漏是指:程序在动态分配内存后,由于某种原因未能释放或无法释放这些内存,导致系统内存的浪费。产生内存泄露的原因上述定义表示了一种现象,没有定义原因。要避免这种现象,就要探究产生现象的原因。内存泄漏是在程序运行过程中产生的,程序运行依赖的是我们的指令,即程......
  • Java栈溢出|内存泄漏|内存溢出
    Java虚拟机栈是线程私有的,它的生命周期和线程同步一个线程每执行到一个方法,JVM就会创建一个栈帧(用于存储基本数据类型、对象指针和返回值等),并将栈帧压入栈中。代码示例:publicclassExample{publicstaticvoidmain(String[]args){Exampleexample=newExa......
  • freertos怎么查看任务内存是否溢出
    1.允许堆栈检测API的使用打开FreeRTOSConfig.h文件,找到宏INCLUDE_uxTaskGetStackHighWaterMark并将其值定为1。2.uxTaskGetStackHighWaterMark函数的说明点击查看代码/**函数参数:xTask:需要检查的堆栈情况的任务句柄。将xTask设置为NULL的话检测的就是调用这个函......
  • hdu7462-字符串【SAM,二分】
    正题题目链接:https://acm.hdu.edu.cn/showproblem.php?pid=7462题目大意你有一个由\(a,b\)组成的字符串\(s\)。有\(m\)个操作:询问有多少个本质不同的串\(t\)使得\(s[l,r]\)是\(t\)的子串且两个串在\(s\)中的出现次数相同。询问有多少个本质不同的串\(t\)......
  • 阿里云Centos7搭建邮件服务器端口使用465
    1.申请一个域名指向这台服务器   2.下面是如果安装了postifx和dovecot有配置问题错误可以卸载重装                                  ......
  • P1460 健康的荷斯坦奶牛 Healthy Holsteins
    题目描述点这里文字描述农民John以拥有世界上最健康的奶牛为傲。他知道每种饲料中所包含的牛所需的最低的维他命量是多少。请你帮助农夫喂养他的牛,以保持它们的健康,使喂给牛的饲料的种数最少。给出牛所需的最低的维他命量,输出喂给牛需要哪些种类的饲料,且所需的饲料剂量最少......
  • C++:内存管理
    C++内存管理的概念        C语言内存管理方式(malloc/free)在C++中可以继续使用,但有些地方就无能为力,而且使用起来比较麻烦,因此C++又提出了自己的内存管理方式:通过new和delete操作符进行动态内存管理。new/delete                    new/d......