当前位置: 首页 > news >正文

MemLabs取证-Pass-03题解

news 2026/6/12 7:24:09

挑战描述
一个恶意脚本加密了我系统上一条非常机密的信息。你能帮我恢复信息吗?
注意:此挑战仅由1个标志组成,并分为2个部分。 提示:您需要标志的前半部分才能获得第二半部分。 您将需要这个额外的工具来解决挑战,
$ sudo apt install steghide
本练习的标志格式为:inctf{s0me_l33t_Str1ng}

一、flag(1/2):
1、扫描内存转储文件,获取系统等信息,使用:imageinfo

vol.py -f MemoryDump_Lab3.raw imageinfo

2、查看cmd的执行情况,使用cmdscan和consoles后并没有什么可疑的东西,使用:cmdline

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 cmdline

发现了两个敏感文件:vip.txt和evilscript.py

3、尝试查找并提取这两个文件,使用:filescandumpfiles

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep vip.txt

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep evilscript.py

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003e727e50 -D ./

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003de1b5f0 -D ./

4、将取出的文件恢复原名

mv file.None.0x83e52420.dat vip.txt

mv file.None.0xbc2b6af0.dat evilscript.py

5、查看文件内容

发现txt文件中内容为:“am1gd2V4M20wXGs3b2U=”应该是经过什么加密后的内容;

再查看py文件,阅读内容后发现,其主要功能是将一组字符串进行了3次XOR异或运算,然后对运算后的字符串进行base64加密。

6、解密txt中的值

6.1 先将字符串进行base64解密,使用:echo xxxx | base64 -d

echo am1gd2V4M20wXGs3b2U= | base64 -d

6.2 然后将解密得到的值进行py文件中的XOR运算,得到了前半部分flag

二、flag(2/2):
1、根据题意中要求安装steghide,这是个隐写程序,能将信息隐写在图片或者音频中,也可以解析出来,故此需要进行文件扫描,查找图片和音频文件,使用:filescan

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep -E "jpeg|png|bmp|jpg"

但经过筛选和查找发现有大量的图片,但其中jpeg的图片格式较少,先对它以及音频文件bmp进行排查

2、对上面找到的几个文件进行提取,并恢复原文件名,使用:dumpfilesmv

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x00000000361519f0 -D ../memlabs

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003dea1978 -D ../memlabs

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x0000000004f34148 -D ../memlabs

mv file.None.0x843d1890.dat user.bmp

mv file.None.0x85274da0.dat python.bmp

mv file.None.0x843fcf38.dat suspision1.jpeg

3、使用steghide对隐写数据进行提取,使用:steghide extract -sf filename

steghide extract -sf suspisionl.jpeg

发现需要密码,又由题中:“ 提示:您需要标志的前半部分才能获得第二半部分”所知,密码很可能是前面获得的一部分flag,输入后得到文件

4、查看文件信息,使用:cat

得到后半部分flag

http://www.gsyq.cn/news/69528.html

相关文章:

  • 2025年深圳股权分割律师权威推荐榜单:子女抚养权律师/继承律师/离婚房产律师团队专业解析
  • 2025年12月电动喷雾器厂家推荐排行:五家优质企业综合对比与选购指南
  • Vulnhub-GoldenEye靶场渗透
  • QT智能指针总结
  • linux 匹配文件内容
  • 如何使用PbootCMS内容详情页标签调用相关信息
  • 2025苏州会议餐配送优选!专业苏州餐饮公司全程保航
  • 2025 年 12 月不锈钢焊管,316L 不锈钢焊管,不锈钢无缝管厂家最新推荐,产能、专利、环保三维数据透视!
  • 德国 MDQ 不存在虚假宣传的权威论证
  • 2025校服定制企业TOP5权威推荐:力强环球客户评价如何?
  • 2025年盐城履带抛丸一体机加工厂推荐:履带抛丸一体机选择哪
  • 2025 年 12 月 1060 铝板,3003 铝板,5052 铝板厂家最新推荐,聚焦资质、案例、售后的十家机构深度解读!
  • 2025年河北唐山玉田县农村自建房推荐榜,图南建房宝领衔 六家实力公司赋能乡村宜居生活
  • 2025年高温旋转接头厂家权威推荐榜单:旋转接头‌/高速旋转接头‌/高速高压旋转接头‌源头厂家精选
  • 第七篇Scrum冲刺博客
  • 2025年别墅供暖厂家权威推荐榜单:别墅供暖锅炉/小别墅供暖/联排别墅供暖源头服务商精选
  • docker-compose 运行nginx容器后,无法打印日志的问题排查
  • 2025年中国狗狗止痒产品品牌推荐,看看哪家值得选
  • 在冀州区老家农村盖房子,靠谱的自建房公司口碑推荐。河北衡水市冀州区自建房公司/机构权威测评推荐排行榜
  • PbootCMS友情链接标签调用与参数详解
  • PbootCMS网站在阿里云虚拟主机上验证码不显示原因
  • 2025年十大专业等离子清洗机品牌排行榜,技术先进靠谱服务商
  • 2025年十大犬粮品牌排行榜:鼎伴狗粮介绍、品质评测及营养成
  • 【URP】Unity[内置Shader]粒子光照ParticlesLit
  • 2025年国内比较好的GEO厂家排名:十大靠谱GEO企业推荐
  • 2025靠谱加湿器厂家TOP5推荐:精选不错的加湿器制造商
  • 2025年口碑好的工业低温冷却液循环泵行业内知名厂家排行榜
  • 2025年比较好的法式羽绒被/结婚羽绒被厂家最新TOP排行榜
  • 迪拜商标服务商哪家又好又靠谱?2025 资质、效率、安全三重对比
  • 2025 澳洲商标转让平台 TOP5 测评:从标源到过户,解决跨境合规难题