MemLabs取证-Pass-02题解

挑战说明
我们公司的一位客户由于未知错误而失去了对其系统的访问权限。 据推测,他是一位非常受欢迎的“环保”活动家。 作为调查的一部分,他告诉我们他的应用程序是浏览器,他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其归还给我们。

注意:此挑战由 3 个flag组成。

一、flag1:
1、先获取系统版本等信息,使用:imageinfo

volatility -f MemoryDump_Lab2.raw imageinfo

2、首先先查看cmd执行情况,使用:cmdscan

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdscan

3、发现进程信息:2068、3852,再看是否有cmd输出,使用:consloes

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 consoles

并没有什么有用的东西

4、对上面查找到的进程进行环境变量-进程查询(3852),使用:envars -p

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 3852

得到ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9

经过base64解码后得到flag:flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}

5、对上面查找到的进程进行环境变量-进程查询(2068),使用:envars -p

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars -p 2068

与上述4完全一致

二、flag2:
1、由题中:“他告诉我们他的应用程序是浏览器”,可知下一步调查对象为浏览器,使用:iehistory

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 iehistory

得到几个疑似文件Important.rar、SW1wb3J0YW50.rar、stAg3_5.txt、Password.png、Hidden.kdbx

2、进行文件扫描,将上面找到的几个可疑文件筛选出来,使用:filesan | grep

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Password.png

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep Hidden.kdbx

只有Password.png和 Hidden.kdbx能够找到

3、将文件提取出来,使用:dumpfiles

vol.py -f ../memlabs/MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ../memlabs

4、更改文件后缀为png后查看图片内容,并未得到flag,但得到了一个提示,密码为:P4SSw0rd_123

5、提取另一个压缩文件,发现解压需要密码,使用图片中得到的密码成功打开文件

在Recycle Bin中找到Flag,得到Flag:flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!}

三、flag3:
1、查看进程信息,使用:psscan

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 psscan

发现除了ie浏览器以外,还有chrome浏览器的进程

2、下一步查看chrome的历史记录,使用:chromehistory

此处使用外部插件chromehistory.py 链接:https://github.com/superponible/volatility-plugins

vol.py --plugins=./plugins -f /root/Desktop/memlabs/MemoryDump_Lab2.raw --profile Win7SP1x64 chromehistory

提取出可疑链接:https://mega.nz/#F!TrgSQQTS!H0ZrUzF0B-ZKNM3y9E76lg

3、访问并下载zip文件

4、解压发现需要密码

在注释中找到信息Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase.

密码为Lab-1中第三阶段Flag的sha1,且为小写

Lab-1第三阶段Flag为:flag{w3ll_3rd_stage_was_easy},对其加密为SHA1,密码为:6045dd90029719a039fd2d2ebcca718439dd100a

5、得到flag

posted @ 2025-12-03 09:29  shinianyunyan  阅读(14)  评论(0)    收藏  举报