• 如果您想对本站表示支持,请随手点击一下广告即可~
  • 本站致力于提供原创、优秀的技术文章~
  • 有任何疑问或建议 均可以在站点右侧栏处 通过各种方式联系站长哦~
  • CTF – RootMe解题报告 [Forensic : Command & Control – level 2]

    渗透测试 EXP 37阅读 0评论

    挑战入口:Root-Me(https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-2)
      分类目录:Link to …(http://exp-blog.com/2019/01/02/pid-2597/6/)

    首先要知道这题的目标是需要在一个内存转存文件里面找到其所属工作站的名称

    开启挑战后会下载一个 ch2.tbz2 文件,解压后得到一个 500M 的 Windows 内存转存文件 ch2.dmp。有些同学可能不知道这个文件是如何打开并读取的,这里推荐使用的是 volatility ,它是可以对 Windows 内存进行取证分析的工具。

    volatility 的安装比较复杂,详细的安装和使用方法可以参考 这里。不过 volatility 已经被 Kali 收录了,我手上刚好装了 Kali 系统,就直接使用,不再安装了。

    复制 ch2.dmp 到 Kali 的 /tmp 目录。在 /tmp 目录下执行命令 volatility -f ch2.dmp imageinfo ,可以根据查看该内存的系统镜像的摘要信息:

    从摘要信息 Suggested Profile(s) 可以知道 volatility 猜测这个 dmp 文件的数据结构可能源于三种 Windows 内核中的一个 (科普:不同版本的操作系统,其内核数据结构可能会发生改变,若不清楚 profile 则在提取 dmp 内容的时候可能会出错)。

    这里任取一个 profile 尝试对 ch2.dmp 进行解析即可,例如 Win7SP1x86

    执行命令 volatility -f ch2.dmp --profile=Win7SP1x86 envars (其中 envars 参数表示查询所有进程的环境变量,更多的参数请指令可以自行搜索):

    从返回信息可以找到一个变量名为 COMPUTERNAME ,其值就是工作站的名称,完成挑战。


    转载请注明:EXP 技术分享博客 » CTF – RootMe解题报告 [Forensic : Command & Control – level 2]

    喜欢 (3) 分享 (0)
    发表我的评论
    取消评论

    表情

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址