2022金砖技能大赛网络取证赛题复现【Win内存镜像分析】

张开发
2026/4/6 5:13:56 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

2022金砖技能大赛网络取证赛题复现【Win内存镜像分析】
附件资源https://pan.baidu.com/s/1dGi5viSc4BLuZacGwwz3LA?pwdddvw提取码: ddvw任务简介Windows 内存镜像分析你作为 A 公司的应急响应人员请分析提供的内存文件按照下面的要求找到相关关键信息完成应急响应事件。从内存中获取到用户admin的密码并且破解密码以Flag{admin,password}形式提交(密码为 6 位)获取当前系统 ip 地址及主机名以 Flag{ip:主机名}形式提交获取当前系统浏览器搜索过的关键词作为 Flag 提交当前系统中存在挖矿进程请获取指向的矿池地址以Flag{ip:端口}形式提交恶意进程在系统中注册了服务请将服务名以Flag{服务名}形式提交。取证过程下面指令中用到的是Volatility 3先来判断一下版本输入vol.exe -f worldskills3.vmem windows.info然后是是密码输入vol.exe -f worldskills3.vmem windows.hashdump这是在提取hash发现Administrator 500 aad3b435b51404eeaad3b435b51404ee 31d6cfe0d16ae931b73c59d7e0c089c0 Guest 501 aad3b435b51404eeaad3b435b51404ee 31d6cfe0d16ae931b73c59d7e0c089c0 admin 1000 aad3b435b51404eeaad3b435b51404ee 29fb61bd2963b1975cf435a2565af910尝试用hascat爆破一下六位密码结果发现跑不出来。hashcat.exe -m 1000 29fb61bd2963b1975cf435a2565af910 -a 3 ?a?a?a?a?a?a说明这个hash值大概率不是密码了密码没有存储在注册表的 SAM 文件里而是被 LSA本地安全权威保护起来了。那去看一下lsavol.exe -f worldskills3.vmem windows.lsadump结果发现竟然有个flag包裹起来的flag{406990ff88f13dac3c9debbc0769588c}按理说应该是ntlm哈希的这里直接改成md5哈希并且用flag包裹起来了这是一个简化网站上搜一下就有了。所以第一问是flag{admin,dfsdde}注意这里其实md5解出来是7位但是实际密码是6位这里怀疑是出题人设计错了多按了一个w然后是获取当前系统 ip 地址及主机名以 Flag {ip: 主机名} 形式提交查看ip地址的指令是vol.exe -f worldskills3.vmem windows.netscanip就是192.168.85.128至于主机名我们可以直接查注册表vol.exe -f worldskills3.vmem windows.registry.printkey --key ControlSet001\Control\ComputerName\ComputerName找到WIN-9FBAEH4UV8C所以第二个问题是flag{192.168.85.129:WIN-9FBAEH4UV8C}下一个是获取当前系统浏览器搜索过的关键词作为 Flag 提交在内存取证中浏览器搜索历史通常不会直接存储在注册表中而是留在浏览器进程的内存或其磁盘缓存文件中。如果是vol2可以直接用iehistory但是我这里是vol3。先查浏览器进程vol.exe -f worldskills3.vmem windows.pslistvol.exe -f worldskills3.vmem windows.memmap --pid 2208 --dump得到文件用010editor打开搜到flag发现这其实是一个文件访问路径就是在浏览器里面访问了本地的文件路径。flag{adminfile:///C:/Users/admin/Desktop/flag.txt}下一步是当前系统中存在挖矿进程请获取指向的矿池地址以Flag{ip:端口}形式提交挖矿进程要先看网络连接vol.exe -f worldskills3.vmem windows.netscan发现一个指向外部的可疑ip用了2222端口flag{54.36.109.161:2222}然后是恶意进程在系统中注册了服务请将服务名以 Flag {服务名} 形式提交。搜索服务是vol.exe -f worldskills3.vmem windows.pslist这里搜出来的服务很多但是根据上面网络连接情况可以得知进程pid是2588然后发现ppid是3036这是父进程的pid也就是上面一行的loader.exe这里vol2在得知pid之后可以直接搜索服务vol3要稍微多一步我们要先去找一下启动进程的文件路径vol.exe -f worldskills3.vmem windows.dlllist --pid 3036发现是C:\ProgramData\VMnetDHCP\loader.exe然后用vol.exe -f worldskills3.vmem windows.registry.printkey --key ControlSet001\Services --recurse services_list.txt把所有服务导出来再去文件里搜索找到了服务名是VMnetDHCP所以flag是flag{VMnetDHCP}

更多文章