首页 > 其他分享 >BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗

时间:2023-06-19 19:35:24浏览次数:35  
标签:BUUCTF 蛛丝马迹 Win2003SP1x86 -- img HDCTF2019 E8% memory E4% 


https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_偏移量

memory.img

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_cmd命令_02


Volatility分析

查看文件的Profile

volatility -f memory.img imageinfo

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_使用记录_03


猜测为:Win2003SP1x86

查看进程

volatility -f memory.img --profile=Win2003SP1x86 pslist

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_cmd命令_04


发现DumpIt.exe,然后查看cmd命令使用记录

volatility -f memory.img --profile=Win2003SP1x86 cmdscan

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_偏移量_05


发现Flag字样,将DumpIt.exe这个程序dump下来

volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_偏移量_06


foremost分离1992.dmp

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_偏移量_07


BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_cmd命令_08


BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_cmd命令_09

key: Th1s_1s_K3y00000
iv: 1234567890123456
jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

给了key(密码)和iv(偏移量),AES加密

BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗_cmd命令_10

flag{F0uNd_s0m3th1ng_1n_M3mory}


标签:BUUCTF,蛛丝马迹,Win2003SP1x86,--,img,HDCTF2019,E8%,memory,E4%
From: https://blog.51cto.com/u_16159500/6517083

相关文章

  • BUUCTF:[GKCTF2020]Harley Quinn
    https://buuoj.cn/challenges#[GKCTF2020]Harley%20QuinnHeathens末尾存在DTMF码(电话拨号码)将这一段截取出来,使用工具dtmf2num识别#22283334447777338866#对照即可得到#ctfisfun#题目压缩包上有提示:FreeFileCamouflageFreeFileCamouflage是一款将重要文档以AES加密算法存放......
  • BUUCTF:[SUCTF2018]followme
    https://buuoj.cn/challenges#[SUCTF2018]followme导出HTTP,这里大部分文件内容显示貌似再爆破admin密码有点多,尝试整个文件夹找一下相关关键字,例如CTF、flag之类的grep-r'CTF'./new/flag{password_is_not_weak}......
  • BUUCTF:[MRCTF2020]Ez_bypass
    https://buuoj.cn/challenges#[MRCTF2020]Ez_bypass右键查看源代码include'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])){$id=$_GET['id'];$gg=$_GET......
  • BUUCTF:大流量分析(二)
    https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%BA%8C%EF%BC%89数据采集D_eth0_NS_20160809_164452.pcap查看下邮件协议:POP、SMTP、IMAP这里只有SMTP追踪TCP流看到了钓鱼邮件解码下这串base64很明显,就是这封钓鱼邮件,而且内容里面有显......
  • BUUCTF:[GXYCTF2019]禁止套娃
    https://buuoj.cn/challenges#[GXYCTF2019]%E7%A6%81%E6%AD%A2%E5%A5%97%E5%A8%83.git泄露,使用GitHackindex.php<?phpinclude"flag.php";echo"flag在哪里呢?<br>";if(isset($_GET['exp'])){if(!preg_match('/data:\/\/|fil......
  • BUUCTF:[ACTF2020 新生赛]Upload
    题目地址:https://buuoj.cn/challenges#[ACTF2020%20%E6%96%B0%E7%94%9F%E8%B5%9B]Upload图片马,filename改为.phtmlhttp://7f46d4ae-8320-44f5-a608-db84399f39e5.node3.buuoj.cn/uplo4d/0094153d9fd2e4a052850a6d656cefb6.phtml......
  • BUUCTF:[极客大挑战 2019]Upload
    题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]UploadPOST/upload_file.phpHTTP/1.1Host:b40c1d53-d3d6-43be-9f6d-67c767946f8c.node3.buuoj.cnUser-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64;rv:82.0)Gecko/2010......
  • BUUCTF: [MRCTF2020]Ezpop
    https://buuoj.cn/challenges#[MRCTF2020]Ezpop<?phpclassModifier{protected$var;publicfunctionappend($value){include($value);}publicfunction__invoke(){$this->append($this->var);}}classShow{......
  • BUUCTF:[ASIS 2019]Unicorn shop
    https://buuoj.cn/challenges#[ASIS%202019]Unicorn%20shop功能是一个购物商店,输入商品ID和价钱进行点击购买。源代码中提醒<metacharset="utf-8">很重要html使用的是UTF-8编码id和price都为空点击购买,返回报错及原因从中可以发现源代码是如何处理price的使用的是unicodedata......
  • BUUCTF:[羊城杯 2020]image_rar
    binwalk分析xiao_mi2.mp4发现很多压缩包,压缩了很多图片将xiao_mi2.mp4修改后缀改为xiao_mi2.zip得到一个hint,但这个压缩包密码并不是指当前的zip压缩包继续往后看,解压这些图片之后发现里面只有65.jpg显示不正常010Editor打开65.jpg文件头ara!,非常类似rar压缩包的文件头Rar!,修......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99