文章

otterCTF_MemoryForensics

发表于 更新于
作者 lmds
3 分钟阅读
otterCTF_MemoryForensics

题目文件:https://mega.nz/#!sh8wmCIL!b4tpech4wzc3QQ6YgQ2uZnOmctRZ2duQxDqxbkWYipQ

1 - What the password?

100

you got a sample of rick’s PC’s memory. can you get his user password? format: CTF{…}

#得到用户的密码

hashdump 没有字典 解不出来

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Rick:1000:aad3b435b51404eeaad3b435b51404ee:518172d012f97d3a8fcc089615283940:::

lsadump 也可以 提取 密码

CTF{MortyIsReallyAnOtter}

2 - General Info

75

Let’s start easy - whats the PC’s name and IP address?

format: CTF{flag}

#得到 ip 地址 和 主机名

.\volatility_2.6_win64_standalone.exe -f C:\Users\Administrator\Desktop\OtterCTF\OtterCTF.vmem –profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K “ControlSet001\services\Tcpip\Parameters”

CTF{WIN-LO6FAF3DTFE}

查找 注册表的方式 找不到 IP 地址

使用 netscan 192.168.202.131 出现的最多

CTF{192.168.202.131}

3 - Play Time

50

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?

format: CTF{flag}

#瑞克只是喜欢玩一些好旧的电子游戏。你能看出他在玩什么游戏吗?服务器的IP地址是什么?

#游戏名字

#游戏服务器IP

查看 上一题的 查询结果 ,百度 到 LunarMS 就是 游戏

CTF{LunarMS}

CTF{77.102.199.102}

4 - Name Game

100

We know that the account was logged in to a channel called Lunar-3. what is the account name?

format: CTF{flag}

#我们知道这个账号登陆了一个叫”月球三号”的频道。帐户名称是什么?

WebCompanionIn

发现了几个 web 相关的 发现 程序提取出来什么都没有

硬找 没有什么 思路了 将 Lunar-3 前后 3 行 打印出来

CTF{0tt3r8r33z3}

5 - Name Game 2

150

From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What’s rick’s character’s name? format: CTF{…}

#通过一个小研究,我们发现登录字符的用户名总是在这个签名之后:0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} rick的角色的名字是什么?

提取 游戏进程

查找 5a0c0000

CTF{M0rtyL0L}

6 - Silly Rick

100

Silly rick always forgets his email’s password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick’s email password?

format: CTF{flag}

#愚蠢的里克总是忘记他的电子邮件的密码,所以他使用在线存储密码服务来存储他的密码。他总是复制和粘贴密码,这样他就不会出错。瑞克的邮箱密码是多少?

根据题意 clipboard

提取窗口剪贴板的内容

CTF{M@il_Pr0vid0rs}

7 - Hide And Seek

100

The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)

BEAWARE! There are only 3 attempts to get the right flag!

format: CTF{flag}

#我们拿走瑞克的电脑内存转储是因为有恶意软件感染。请找到恶意软件进程名称(包括扩展名)

很难受 没看到 三次机会

一开始 使用的 是 malfind 没有尝试 出来

网上 找了 一下 是否存在教程

pstree 可以看到一个 Rick And Morty 一个很奇怪的进程

下面关联了一个 vmware-tray.exe 程序

CTF, MISC
misc Memory Forensics
本文由作者按照 CC BY 4.0 进行授权