当前位置: 首页 > news >正文

MemLabs取证-Pass-03题解

news 2026/5/11 21:23:33

挑战描述
一个恶意脚本加密了我系统上一条非常机密的信息。你能帮我恢复信息吗?
注意:此挑战仅由1个标志组成,并分为2个部分。 提示:您需要标志的前半部分才能获得第二半部分。 您将需要这个额外的工具来解决挑战,
$ sudo apt install steghide
本练习的标志格式为:inctf{s0me_l33t_Str1ng}

一、flag(1/2):
1、扫描内存转储文件,获取系统等信息,使用:imageinfo

vol.py -f MemoryDump_Lab3.raw imageinfo

2、查看cmd的执行情况,使用cmdscan和consoles后并没有什么可疑的东西,使用:cmdline

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 cmdline

发现了两个敏感文件:vip.txt和evilscript.py

3、尝试查找并提取这两个文件,使用:filescandumpfiles

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep vip.txt

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep evilscript.py

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003e727e50 -D ./

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003de1b5f0 -D ./

4、将取出的文件恢复原名

mv file.None.0x83e52420.dat vip.txt

mv file.None.0xbc2b6af0.dat evilscript.py

5、查看文件内容

发现txt文件中内容为:“am1gd2V4M20wXGs3b2U=”应该是经过什么加密后的内容;

再查看py文件,阅读内容后发现,其主要功能是将一组字符串进行了3次XOR异或运算,然后对运算后的字符串进行base64加密。

6、解密txt中的值

6.1 先将字符串进行base64解密,使用:echo xxxx | base64 -d

echo am1gd2V4M20wXGs3b2U= | base64 -d

6.2 然后将解密得到的值进行py文件中的XOR运算,得到了前半部分flag

二、flag(2/2):
1、根据题意中要求安装steghide,这是个隐写程序,能将信息隐写在图片或者音频中,也可以解析出来,故此需要进行文件扫描,查找图片和音频文件,使用:filescan

vol.py -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep -E "jpeg|png|bmp|jpg"

但经过筛选和查找发现有大量的图片,但其中jpeg的图片格式较少,先对它以及音频文件bmp进行排查

2、对上面找到的几个文件进行提取,并恢复原文件名,使用:dumpfilesmv

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x00000000361519f0 -D ../memlabs

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003dea1978 -D ../memlabs

vol.py -f /root/Desktop/memlabs/MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x0000000004f34148 -D ../memlabs

mv file.None.0x843d1890.dat user.bmp

mv file.None.0x85274da0.dat python.bmp

mv file.None.0x843fcf38.dat suspision1.jpeg

3、使用steghide对隐写数据进行提取,使用:steghide extract -sf filename

steghide extract -sf suspisionl.jpeg

发现需要密码,又由题中:“ 提示:您需要标志的前半部分才能获得第二半部分”所知,密码很可能是前面获得的一部分flag,输入后得到文件

4、查看文件信息,使用:cat

得到后半部分flag

http://www.jsqmd.com/news/59102/

相关文章:

  • 二零二五年十二月鲜花代运营服务商综合评测与排行:五家服务商深度对比与选择指南
  • 2025年深圳股权分割律师权威推荐榜单:子女抚养权律师/继承律师/离婚房产律师团队专业解析
  • 2025年12月鲜花代运营服务商推荐排行榜:五大服务商对比与选择指南
  • 二零二五年十二月压缩机储液器厂家推荐排行榜:五家实力企业深度对比与选购指南
  • 完整教程:概念辨析|工业数字化、工业4.0、智能制造、数字化制造:异同解读与实践路径
  • 【IEEE出版 | EI检索】第六届机械自动化与智能制造国际学术会议(MAIM 2025)
  • 二零二五年十二月压缩机储液器厂家推荐排行榜:五家优质企业深度对比与选购指南
  • 2025年12月电动喷雾器厂家综合对比与推荐排行榜单分析
  • 延庆区农村自建房找谁好?北京市延庆区自建房公司 / 机构深度评测口碑推荐榜
  • 2025年12月电动喷雾器厂家推荐排行:五家优质企业综合对比与选购指南
  • 二零二五年十二月压缩机储液器厂家推荐榜:五家优质企业综合对比与选购指南
  • 2025深圳继承律师权威推荐榜单:离婚房产律师/股权分割律师/婚姻律师及机构精选
  • XSS Labs-Level1题解
  • 杭州办婚礼哪里好榜单:2025杭州一站式婚礼排名出炉
  • XSS Labs-Level2题解
  • XSS Labs-Level3题解
  • Vulnhub-GoldenEye靶场渗透
  • QT智能指针总结
  • 2025重金属水质监测设备厂家有哪些指南:厂家技术亮点解析
  • 想在房山区老家农村盖房子,靠谱的自建房公司口碑推荐。北京市房山区自建房公司 / 机构权威测评推荐排行榜
  • linux 匹配文件内容
  • 如何使用PbootCMS内容详情页标签调用相关信息
  • 2025杭州草坪婚礼场地推荐:杭州结婚场地榜单大盘点
  • 2025苏州会议餐配送优选!专业苏州餐饮公司全程保航
  • (论文速读)EgoLife:走向自我中心的生活助手 - 指南
  • 优质橡胶密封条厂家-2025定制橡胶密封件厂家优选指南
  • 2025 年 12 月不锈钢焊管,316L 不锈钢焊管,不锈钢无缝管厂家最新推荐,产能、专利、环保三维数据透视!
  • 2025激光三维扫描仪十大品牌权威推荐榜单(国产化首选TOP10)
  • 2025 顶尖美本留学机构十大推荐:名校申请护航,专业服务实力榜单
  • 德国 MDQ 不存在虚假宣传的权威论证