[OtterCTF 2018]之Misc篇(NSSCTF)刷题记录⑦

NSSCTF-Misc篇-[OtterCTF 2018]

    • [OtterCTF 2018]General Info
    • [OtterCTF 2018]Play Time
    • [OtterCTF 2018]Silly Rick
    • [OtterCTF 2018]What the password?
    • [OtterCTF 2018]Name Game
    • [OtterCTF 2018]Hide And Seek
    • [OtterCTF 2018]Name Game 2
    • [OtterCTF 2018]Path To Glory
    • [OtterCTF 2018]Path To Glory 2
    • [OtterCTF 2018]Bit 4 Bit
    • [OtterCTF 2018]Graphic's For The Weak
    • [OtterCTF 2018]Recovery
    • [OtterCTF 2018]Closure

NSSCTF平台:https://www.nssctf.cn/

PS:记得所有的flag都改为NSSCTF

[OtterCTF 2018]General Info

Let’s start easy - whats the PC’s name and IP address?
答案使用-连接加上NSSCTF{}格式提交,例如PC名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}

①.使用参数netscan 先找ip

在这里插入图片描述
②.使用hivelist查看注册表,发现有SYSTEM使用 -K "ControlSet001\Control\ComputerName\ComputerName获取主机名。

在这里插入图片描述
在这里插入图片描述

NSSCTF{WIN-LO6FAF3DTFE-192.168.202.131}

[OtterCTF 2018]Play Time

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?(瑞克只是喜欢玩一些好的老式电子游戏,你能告诉他在玩哪个游戏吗? 服务器的IP地址是什么?)
答案使用-连接加上NSSCTF{}格式提交,例如游戏名为test,IP为127.0.0.1,提交NSSCTF{test-127.0.0.1}

使用netscan直接查看到游戏名与IP

在这里插入图片描述

NSSCTF{LunarMS-77.102.199.102}

[OtterCTF 2018]Silly Rick

Silly rick always forgets his email’s password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick’s email password?
(愚蠢的瑞克总是忘记他的电子邮件的密码,所以他使用在线存储密码服务来存储他的密码。他总是复制和粘贴密码,这样他就不会弄错。里克的电子邮件密码是什么?)

在这里插入图片描述

NSSCTF{M@il_Pr0vid0rs}

[OtterCTF 2018]What the password?

you got a sample of rick’s PC’s memory. can you get his user password?
(你得到了瑞克电脑内存的样本,你能得到他的用户密码吗?)

使用命令:python2 vol.py -f OtterCTF.vmem imageinfo

在这里插入图片描述
使用命令:python2 vol.py -f OtterCTF.vmem --profile=Win7SP1x64 hashdump 列出hash值 这里需要使用mimikatz

在这里插入图片描述
使用命令:python2 vol.py -f OtterCTF.vmem --profile=Win7SP1x64 mimikatz进行破解。
在这里插入图片描述

NSSCTF{MortyIsReallyAnOtter}

[OtterCTF 2018]Name Game

We know that the account was logged in to a channel called Lunar-3. what is the account name?(我们知道该账户登录了一个名为Lunar-3的频道。什么是账户名称?)

在这里插入图片描述

NSSCTF{0tt3r8r33z3}

[OtterCTF 2018]Hide And Seek

The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)(我们提取瑞克的电脑内存转储的原因是有一个恶意软件感染请找到恶意软件的进程名称(包括扩展名)

pstree查看进程树发现了一个vmware-tray.ex 比较可疑 搜索cmdline

在这里插入图片描述
在这里插入图片描述

NSSCTF{vmware-tray.exe}

[OtterCTF 2018]Name Game 2

From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What’s rick’s character’s name?(通过一点研究,我们发现,登录的字符的用户名总是在这个签名之后。0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 瑞克的角色叫什么名字?)

pslist列出进程将LunarMS.exe进行转存,使用16进制编辑器查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

NSSCTF{M0rtyL0L}

[OtterCTF 2018]Path To Glory

How did the malware got to rick’s PC? It must be one of rick old illigal habits…
(恶意软件是如何进入里克的电脑的?这一定是瑞克的一个老习惯…)

使用filescan | grep "Rick And Morty"过滤出Rick相关的文件,进行转存strings 进行查看 得到FLAG

在这里插入图片描述

NSSCTF{M3an_T0rren7_4_R!ck}

[OtterCTF 2018]Path To Glory 2

Continue the search after the the way that malware got in.(在恶意软件进入后继续搜索。

根据前面torrent知道是种子文件,那肯定是通过谷歌浏览器下载的所以我们把思路放在chrome进程里面

filescan |grep -i "chrome.*history*" 进行转存,得到是个数据库文件 发现该种子文件来源为一个mail地址

在这里插入图片描述

在这里插入图片描述
搜索关键字|grep "mail.com" 找到了rickopicko@mail.com邮件 继续过滤搜关键字 |grep -E "rickypinky@mail.com" -C 10
在这里插入图片描述

NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}

[OtterCTF 2018]Bit 4 Bit

We’ve found out that the malware is a ransomware. Find the attacker’s bitcoin address.
(我们发现这个恶意软件是勒索软件。找到攻击者的比特币地址。)

把勒索病毒,以可执行文件转储3720进程 使用procdump -p 3720 -D ./

在这里插入图片描述
使用逆向分析工具IDA查看
在这里插入图片描述

NSSCTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}

[OtterCTF 2018]Graphic’s For The Weak

There’s something fishy in the malware’s graphics.(恶意软件的图形中有些可疑。)

foremost 直接分离恶意程序得到图片。

在这里插入图片描述
在这里插入图片描述

NSSCTF{S0_Just_M0v3_Socy}

[OtterCTF 2018]Recovery

Rick got to have his files recovered! What is the random password used to encrypt the files?
(里克得把他的档案找回来!用于加密文件的随机密码是什么?)

通过 ILSpy 得知密码长度为15个字符,格式为computerName+“-”+userName+“”+密码

猜测就是第二题总拿到的主机名WIN-LO6FAF3DTFE加上用户名Rick,使用strings进行搜索一下
在这里插入图片描述

NSSCTF{aDOBofVYUNVnmp7}

[OtterCTF 2018]Closure

Now that you extracted the password from the memory, could you decrypt rick’s files?
(既然你从内存中提取了密码,你能解密瑞克的文件吗?)

filecsan | grep Flag 搜索关键字,进行转存

在这里插入图片描述
百度后知道这个恶意软件就是HiddenTear勒索软件,先使用HiddenTear Bruteforcer爆破出密钥,再使用HiddenTearDecrypter进行解密

需要把文末的0都删了 在进行爆破(因为是更快把) 并将后缀修改为.png.locked* 密钥为:aDOBofVYUNVnmp7
在这里插入图片描述
打开HiddenTearDecrypter,填写密钥Select Directory选择加密文件的目录,点击Decrypt解密文件得到一张图片使用WinHex打开即可。
在这里插入图片描述
在这里插入图片描述

NSSCTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}

在这里插入图片描述

🆗今天的刷题记录是针对内存取证的练习 希望对刷题的小伙伴有所帮助,感谢大家的支持!!!

这里可以参考一下这一篇工具vol2的详细使用:https://blog.csdn.net/Aluxian_/article/details/128194996

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/16723.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

2023年第二十届五一数学建模竞赛C题:“双碳”目标下低碳建筑研究-思路详解与代码答案

该题对于模型的考察难度较低,难度在于数据的搜集以及选取与处理。 这里推荐数据查询的网站:中国碳核算数据库(CEADs) https://www.ceads.net.cn/ 国家数据 国家数据​data.stats.gov.cn/easyquery.htm?cnC01 以及各省市《统…

安陆EGS20 SDRAM仿真

目录 一. 搭建仿真平台 二. 实现SDRAM连续写入1024个数据,然后再连续读出,并比较 1. 调试过程中问题: 2. 顶层代码 3. 功能代码 三. SDRAMFIFO实现上述功能调试 1. 代码设计要点 2. 仿真过程问题 3. 上板运行调试 安陆反馈&#xf…

YOLOv6 4.0 使用记录: OpenCV DNN C++推理

目录 1、下载源码 2、下载权重文件 3、配置环境 4、推理 6、ONNX格式导出 权重文件为yolov6list_s.pt 权重为yolov6.pt 7、opencv DNN推理 8、个人总结 1、下载源码 下载最新的4.0版本的 2、下载权重文件 我下的是YOLOv6Lite-S 3、配置环境 cd到项目目录,运…

3.6 cache存储器

学习步骤: 我会采取以下几个步骤来学习Cache存储器: 确定学习目标:Cache存储器作为一种高速缓存存储器,通常用于提高计算机系统的运行效率。因此,我需要明确学习Cache存储器的目的,包括了解其原理、结构和…

一图看懂 requests 模块:用Python编写、供人类使用的HTTP库, 资料整理+笔记(大全)

本文由 大侠(AhcaoZhu)原创,转载请声明。 链接: https://blog.csdn.net/Ahcao2008 一图看懂 requests 模块:用Python编写、供人类使用的HTTP库, 资料整理笔记(大全) 摘要模块图类关系图模块全展开【requests】统计常量str 模块3 w…

java数据结构之HashMap

目录 前言 1、初始化 1.1、初始化 1.2、插入第一条数据 2、数组 链表 2.1、插入数据:没有hash冲突 2.2、插入数据:Key不同,但产生hash冲突 2.3、插入数据:Key相同 3、数组 红黑树 3.1、链表如何转化为红黑树? 3.…

golang - switch

switch 的使用 switch 语句用于基于不同条件执行不同操作,,直每一个 case 分支都是唯一的,从上到下逐一测试到匹配为止匹配项后面也不需要再加 break switch 表达式 {case 表达式1, 表达式2, ... :语句块1case 表达式2, 表达式3, ... :语句块…

GPT:你知道这五年我怎么过的么?

时间轴 GPT 首先最初版的GPT,来源于论文Improving Language Understanding by Generative Pre-Training(翻译过来就是:使用通用的预训练来提升语言的理解能力)。GPT这个名字其实并没有在论文中提到过,后人将论文名最后…

【Unity3D小功能】Unity3D中实现轮船在水面上移动效果

推荐阅读 CSDN主页GitHub开源地址Unity3D插件分享简书地址我的个人博客 大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。 一、前言 标题是啥我写啥,大家好,今天给大家带来…

你的 Kubernetes 安全吗?最新benchmark的重要趋势解读

导语 疫情过后经济处在缓慢复苏的阶段,对于企业应该优先考虑数字化转型,因为它可以促进增长和创新。 不可避免地,当今的数字化转型计划依赖于云的可扩展性和灵活性。 虽然在云中启动应用程序和服务带来了许多机遇,但也带来了新的…

云原生Istio架构和组件介绍

目录 1 Istio 架构2 Istio组件介绍2.1 Pilot2.2 Mixer2.3 Citadel2.4 Galley2.5 Sidecar-injector2.6 Proxy(Envoy)2.7 Ingressgateway2.8 其他组件 1 Istio 架构 Istio的架构,分为控制平面和数据面平两部分。 - 数据平面:由一组智能代理([En…

HCIA-RS实验-路由配置-静态路由缺省路由(2)

接上文HCIA-RS实验-路由配置-静态路由&缺省路由 继续完成缺省路由;其他原截图就不再一一截图,有需要往回看一篇。 关闭上一篇的接口shutdown(重新启动) 上一篇在R2关闭的接口2 需要重新启动,输入 undo shutdown…

4月VR大数据:PICO平台应用近400款,领跑国内VR生态

Hello大家好,每月一期的VR内容/硬件大数据统计又和大家见面了。 想了解VR软硬件行情么?关注这里就对了。我们会统计Steam平台的用户及内容等数据,每月初准时为你推送,不要错过喔! 本数据报告包含:Steam VR硬…

我们公司的面试,有点不一样!

我们公司的面试,有点不一样! 朋友们周末愉快,我是鱼皮。因为我很屑,所以大家也可以叫我屑老板。 自从我发了自己创业的文章和视频后,收到了很多小伙伴们的祝福,真心非常感谢! 不得不说&#…

Elasticsearch:人类语言到 Elasticsearch 查询 DSL

Elasticsearch 为开发者提供了强大的搜索功能。Elasticsearch 使用 DSL 来进行查询。对于很多从关系数据库过来的人,这个很显然不很适应。虽然我们可以使用 SQL 来进行查询,但是我们必须通过一些命令来进行转换。我们可以通过阅读文章: Elast…

【Java面试八股文】数据库篇

导航: 【黑马Java笔记踩坑汇总】JavaSEJavaWebSSMSpringBoot瑞吉外卖SpringCloud黑马旅游谷粒商城学成在线MySQL高级篇设计模式牛客面试题 目录 请你说说MySQL索引,以及它们的好处和坏处 请你说说MySQL的索引是什么结构,为什么不用哈希表 请你说说数据库索引的底…

Segmentation of retinal vessels based on MRANet

随手把一篇论文的创新部分抽取出来 MLF 为了更好地聚合每一层的上采样特征信息和MSR块的信息,在解码路径中使用了MLF块,这允许最大限度地重用功能,从而减少细节的损失。MLF块的结构如图2所示。 如图2所示,有两种输入:input1和inp…

观察 | 卫浴产业数字化转型下的中国智造样本

文 | 智能相对论 作者 | 佘凯文 数字技术的发展已成为全球科技变革向高端技术不断升级的方向。 年初,中共中央、国务院印发《数字中国建设整体布局规划》,这是党的二十大后党中央在我国数字化发展领域作出的最全面擘画,从顶层设计的高度对…

ETL工具 - Kettle 介绍及基本使用

一、Kettle 介绍 在介绍 Kettle 前先了解下什么是 ETL,ETL是 Extract-Transform-Load 的缩写,即数据 抽取、转换、装载 的过程,对于企业或行业应用来说,经常会遇到各种异构数据的处理、转换、迁移等操作,这些操作有可…

华为网工实验(VRRP多网关负载分担,OSPF基础操作)

采用VRRP多网关负载分担实现流量的负载均衡 配置思路:首先配置各个接口ip,让设备间能够实现通信,采用OSPF协议实现通信,然后AR2 AR3创建两个备份组,主备不同的两个备份组 组网图 #先设备命名并配置IP,三台设备类似&a…