附件链接
本次题目原题以及需要的附件:
https://gryffinbit.lanzous.com/iJtnakypguf
更多关于此次取证题目的知识点,可以参考
活取证和死取证 volatility取证工具的使用或者分类下的入侵检测与取证文件夹。
题目思路概述
是一个基础的取证题目。考察方向,对登陆密码取证,取证图片和文字。
首先拿到题目是一个key.dmp和一个加密压缩包。
思路是:取证key.dmp获取到Windows7的用户名和登陆密码。登陆密码即压缩包的解密密码。
解密压缩包,得到两个flag。flag1是图片取证。flag2是文字取证。
最终根据文字取证到的链接,找到flag。
需要用到的软件
strings:打印文件中可打印的字符,经常用来发现文件中的一些提示信息或是一些特殊的编码信息,常常用来发现题目的突破口。
Mimikatz:是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。他们可以通过明文密码或者传递hash值来提权
gimp:kali下的(photoshop的Linux版)
具体步骤
获取key
使用mimikatz
把 key.dmp 文件拷贝到 mimikatz.exe 所在文件夹,以管理员身份打开 mimikatz.exe 程序。 输入::回车,可以查看 mimikatz 所有的模块,我们需要使用的模块是 sekurlsa。
在依次使用命令
1 | sekurlsa::minidump key.dmp |
就可以把用户名和密码提取出来。
Dino209
取证flag1
在kali下分析flag1.
kali 下提取图像信息使用的工具是 gimp(photoshop 的 linux 版)
👉为避免找不到gimp包,先进行修复,再安装gimp
1 | apt --fix-broken install |
👉gimp不能直接打开dmp文件,但是可以打开data文件,两种类型本质是一样的, 把flag1.dmp 改名为 flag1.data
1 | mv mspaint.dmp mspaint.data |
👉打开后显示的图片是一团混乱的像素点,通过调节宽度、高度以及位移三个参数,从混乱中寻找可能的图像
在kali的菜单栏中找到gimp,运行
打开data文件
调节宽度、高度,hint给出1080x1577
调整位移到合适的位置,显示完整图片
取证flag2
使用 strings 工具提取出其中的字符串,找到有用信息。
在Windows7 下,管理员身份运行cmd
1 | strings.exe flag2.dmp > flag2.txt |
这不仅适用于 notepad 程序,只要当前系统中正在使用的文字处理软件,如:word、 outlook(邮件)等,都可以用相同的方法 dump 内存中数据内容。
提取到一个比较到的大的txt,搜索flag。找到flag{}包着一个链接,打开链接下载flag
