1.挑战说明
我们最近从客户那里收到了这个内存转储。有人在他不在时访问了他的系统,他发现正在访问一些相当奇怪的文件。 找到这些文件,它们可能很有用。我引用他的确切陈述,名字不可读。 它们由字母和数字组成,但我无法弄清楚它到底是什么。此外,他注意到他最喜欢的应用程序每次运行时都会崩溃。 是病毒吗?
注 1:此挑战由 3 个Flag组成。 如果您认为第二个标志是结束,它不是!
注 2:挑战时有一个小错误。 如果您发现任何具有字符串“L4B_3_D0n3!!”的字符串 在里面,请把它改成“L4B_5_D0n3!!” 然后继续。
注 3:只有在拥有第一阶段标志时,您才会获得第二阶段标志。
靶机地址:MemLabs/Lab 5 at master · stuxnet999/MemLabs · GitHub
2.Flag1
2.1 获取镜像操作系统版本
操作系统版本为:Win7SP1x64
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw imageinfo
2.2 获取IE历史记录
得到敏感文件SW1wb3J0YW50.rar
、ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ.bmp
、Password.png
、Hidden.kdbx
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 iehistory
2.3 尝试提取文件
4个敏感文件只有一个能够提取,提取SW1wb3J0YW50.rar
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 filescan |grep SW1wb3J0YW50.rar vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eed56f0 -D ../memlabs/lab5 mv file.None.0xfffffa80010b44f0.dat SW1wb3J0YW50.rar
2.4 尝试访问SW1wb3J0YW50.rar
发现需要密码,且没有任何注释,我们先放一边
2.5 我们发现bmp图片的名字有点像base64,尝试进行解码
解码前:ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ
base64解码后:flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}
得到第一个Flag!
3.Flag2
3.1 尝试解压
因为我们先前已经得到一个Rar压缩文件,我们尝试用第一个flag进行解压
输入密码:flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}
成功解压!
3.2 查看图片内容
很幸运,我们得到了第二个Flag
Flag2内容为:flag{W1th_th1s_$taGe_2_1s_cOmPL3T3_!!}
4.Flag3
4.1 使用pstree发现可疑进程 NOTEPAD.EXE
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 pstree
4.2 尝试提取Pid为2724和2056的程序,只有2724提取成功
vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw --profile=Win7SP1x64 procdump -p 2724 -D ../memlabs/lab5
4.3 使用IDA进行分析,取到Flag3,即bi0s{M3m_l4b5_OVeR_!}