摘要: 一道内存取证的题目。 ①查看镜像信息 这里volatility推测这个应该是Win7SP1x64的内存 ②hashdump ③尝试用kali的john工具去破解密码 看起来是空密码 ④查看进程 出现了notepad.exe进程,PID为2580 ⑤提取进程 ⑥搜索一下flag 可以看到关于flag的 阅读全文
posted @ 2020-02-15 12:04 imbraininvat 阅读(939) 评论(0) 推荐(0)
摘要: 难度:very easy 攻略地址:https://www.freebuf.com/news/173249.html 1、信息收集 ①主机探测 这里.7就是靶机 ②端口扫描 nmap -p1-65535 -A 192.168.56.101 -oN rick.txt \ #这里-p指定了从port:1 阅读全文
posted @ 2020-02-15 01:54 imbraininvat 阅读(911) 评论(0) 推荐(0)
摘要: 靶机下载地址:https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/ MD5:254c357d31d42b3c45de4d9c13879557 记录自己在渗透方面的历程 一、靶机的设置 将虚拟机导入之后,设置为NAT模式,然后打开虚拟机,选择下图所 阅读全文
posted @ 2020-02-13 12:52 imbraininvat 阅读(626) 评论(0) 推荐(0)
摘要: 题目MD5:d735b979e30f5331e4b968c1b787a36d 题目保护: IDA分析 程序根据一个数组来跳转执行功能,而且在malloc功能中,size会写入到数组的低地址方向,这时如果我们触发数组溢界,就可以任意地址跳转 exp from pwn import * io=remot 阅读全文
posted @ 2020-02-10 12:54 imbraininvat 阅读(249) 评论(0) 推荐(0)
摘要: 原帖地址:https://www.52pojie.cn/thread-1079259-1-1.html 0.使用volatility辨别dump下来的内存属于什么版本的什么操作系统(这里一般排列在第一个的是正确的) ⦁ 列出进程 这里可以看到有个cmd.exe⦁ 查看cmd历史记录 可以看到有个fl 阅读全文
posted @ 2020-02-10 11:29 imbraininvat 阅读(445) 评论(0) 推荐(0)