内存取证闯关Memlabs-3

MemLabs Lab 3 - The Evil's Den

挑战描述

A malicious script encrypted a very secret piece of information I had on my system. Can you recover the information for me please?

一个恶意脚本加密了我系统上的一条非常机密的信息。您能帮我恢复信息吗?

Note-1: This challenge is composed of only 1 flag. The flag split into 2 parts.

注 1:此挑战仅由 1 个flag组成。flag分为两部分。

Note-2: You'll need the first half of the flag to get the second.

注 2:您需要flag的前半部分才能获得后半部分。

You will need this additional tool to solve the challenge,

您将需要这个额外的工具来解决挑战,

$ sudo apt install steghide

The flag format for this lab is: inctf{s0me_l33t_Str1ng}

本实验的标志格式为:inctf{s0me_l33t_Str1ng}

原下载链接:MemLabs_Lab3

备用下载链接请查看内存取证闯关memlabs-1

解题步骤

第一步,确定操作系统版本信息

image-20241217163824969

展示所有进程的命令行参数

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 cmdline

image-20241217164240483

发现了两个特殊的文件,一个python脚本,一个TXT文本,尝试提取一下

先检索是否含有此文件

image-20241217165828985

很好,都可以下载

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003de1b5f0 -D ../Desktop 

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003e727e50 -D ../Desktop

image-20241217170246855

然后给他们改名,之后查看即可

mv file.None.0x83e52420.dat vip.txt
mv file.None.0xbc2b6af0.dat 1.py

image-20241217170509579

此脚本是用单个字符进行了3次XOR异或运算,然后用base64编码生成vip.txt

我们首先要对vip.txt中的文本进行base64解码为:jmwex3m0\k7oe,再进行3次XOR运算,最终拿到前半段flag:inctf{0n3_h4lf

s = 'jm`wex3m0\k7oe'
''.join(chr(ord(i)^3) for i in s)

image-20241217170804735

python哪个版本都可以

然后我们获取后半部分flag,打ctf的知道,steghide是一个图片或音频隐写工具

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep -E "jpeg|bmp"

image-20241217172218462

提取,这里为了简便,直接告诉你们,照片能提取出关键信息

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x0000000004f34148 -D ../Desktop

mv file.None.0x843fcf38.dat 2.jpg

使用steghide提取隐藏信息,密码为flag前半部分

steghide extract -sf 2.jpg

image-20241218083255985

得到后半部分,拼接得到完整flag:inctf{0n3_h4lf_1s_n0t_3n0ugh}

posted @ 2024-12-18 08:38  kriton  阅读(257)  评论(0)    收藏  举报