题目文件:https://mega.nz/#!sh8wmCIL!b4tpech4wzc3QQ6YgQ2uZnOmctRZ2duQxDqxbkWYipQ
1 - What the password?
100
you got a sample of rick’s PC’s memory. can you get his user password? format: CTF{…}
#得到用户的密码
hashdump 没有字典 解不出来
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Rick:1000:aad3b435b51404eeaad3b435b51404ee:518172d012f97d3a8fcc089615283940:::
lsadump 也可以 提取 密码
CTF{MortyIsReallyAnOtter}
2 - General Info
75
Let’s start easy - whats the PC’s name and IP address?
format: CTF{flag}
#得到 ip 地址 和 主机名
.\volatility_2.6_win64_standalone.exe -f C:\Users\Administrator\Desktop\OtterCTF\OtterCTF.vmem –profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K “ControlSet001\services\Tcpip\Parameters”
CTF{WIN-LO6FAF3DTFE}
查找 注册表的方式 找不到 IP 地址
使用 netscan 192.168.202.131 出现的最多
CTF{192.168.202.131}
3 - Play Time
50
Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?
format: CTF{flag}
#瑞克只是喜欢玩一些好旧的电子游戏。你能看出他在玩什么游戏吗?服务器的IP地址是什么?
#游戏名字
#游戏服务器IP
查看 上一题的 查询结果 ,百度 到 LunarMS 就是 游戏
CTF{LunarMS}
CTF{77.102.199.102}
4 - Name Game
100
We know that the account was logged in to a channel called Lunar-3. what is the account name?
format: CTF{flag}
#我们知道这个账号登陆了一个叫”月球三号”的频道。帐户名称是什么?
WebCompanionIn
发现了几个 web 相关的 发现 程序提取出来什么都没有
硬找 没有什么 思路了 将 Lunar-3 前后 3 行 打印出来
CTF{0tt3r8r33z3}
5 - Name Game 2
150
From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What’s rick’s character’s name? format: CTF{…}
#通过一个小研究,我们发现登录字符的用户名总是在这个签名之后:0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} rick的角色的名字是什么?
提取 游戏进程
查找 5a0c0000
CTF{M0rtyL0L}
6 - Silly Rick
100
Silly rick always forgets his email’s password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick’s email password?
format: CTF{flag}
#愚蠢的里克总是忘记他的电子邮件的密码,所以他使用在线存储密码服务来存储他的密码。他总是复制和粘贴密码,这样他就不会出错。瑞克的邮箱密码是多少?
根据题意 clipboard
提取窗口剪贴板的内容
CTF{M@il_Pr0vid0rs}
7 - Hide And Seek
100
The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
BEAWARE! There are only 3 attempts to get the right flag!
format: CTF{flag}
#我们拿走瑞克的电脑内存转储是因为有恶意软件感染。请找到恶意软件进程名称(包括扩展名)
很难受 没看到 三次机会
一开始 使用的 是 malfind 没有尝试 出来
网上 找了 一下 是否存在教程
pstree 可以看到一个 Rick And Morty 一个很奇怪的进程
下面关联了一个 vmware-tray.exe 程序
