題目:
連結: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取碼: axgp
做題時看到下載下傳下來的600m,懵逼中,看到是img鏡像檔案當然想到的是利用diskgenuis恢複檔案找特别檔案再進行解密。
一直做不出,是我想的太簡單了,昨天看了大佬寫的wp,滿懷敬佩的心複現一下
參考i春秋大佬:lem0n
實驗用到的工具:
kali 滲透測試系統
easy_dump.img 記憶體鏡像
Volatility Framework 記憶體驗證工具
TestDisk 檔案恢複工具
Volatility Framework:
volatility 架構是一款用于易失性記憶體驗證的重量級架構。在該架構下我們可以完成許多驗證的操作,擷取我們想取得的資訊。其支援的作業系統也非常廣泛,同時支援 windows , linux, Mac OSX,甚至也支援 Android 手機使用ARM處理器的驗證。是以,它也是所有網絡驗證愛好者的必學架構。
volatility 使用:
volatility -f <檔案名> -–profile=<配置檔案> <插件> [插件參數]
通過volatility --info擷取工具所支援的profile,Address Spaces,Scanner Checks,Plugins
常用插件:
imageinfo:顯示目标鏡像的摘要資訊,知道鏡像的作業系統後,就可以在 –profile 中帶上對應的作業系統
pslist:該插件列舉出系統程序,但它不能檢測到隐藏或者解鍊的程序,psscan可以
psscan:可以找到先前已終止(不活動)的程序以及被rootkit隐藏或解鍊的程序
pstree:以樹的形式檢視程序清單,和pslist一樣,也無法檢測隐藏或解鍊的程序
mendump:提取出指定程序,常用foremost 來分離裡面的檔案
filescan:掃描所有的檔案清單
hashdump:檢視目前作業系統中的 password hash,例如 Windows 的 SAM 檔案内容
svcscan:掃描 Windows 的服務
connscan:檢視網絡連接配接
利用
volatility -f easy_dump.img imageinfo
檢視鏡像資訊
根據
Suggested Profile(s)
值猜測他是Win7SP1x64,是以利用
--profile=Win7SP1x64
然後利用
volatility -f easy_dump.img --profile=Win7SP1x64 psscan
檢視所有程序,通過所有程序來檢視是否有可疑程序出現,進行進一步驗證。
發現一個可疑程序,dumpit.exe
那就把它分離提取下來volatility -f '/root/Desktop/easy_dump.img' --profile=Win7SP1x64 memdump -p 2500 -D ./
看下這個程序有啥隐藏檔案否,發現裡面有個message.img
繼續分析img檔案,binwalk,foremost分析提取分離其中的檔案,發現一個hint.txt
一堆坐标,利用腳本或者工具gnuplot可解出一個二維碼
識别結果:
Here is the vigenere key: aeolus, but i deleted the encrypted message。
根據提示說用了vigenere并且key為aeolus,但是他删除了資訊...
那麼接下來就要用到
testdisk /dev/loop0
來進行檔案恢複。
得到message.swp,源碼得到一串密文
根據hint可知道是維吉尼亞加密,上面已得到key和密文,利用腳本進行解密即可
腳本如下
連結: https://pan.baidu.com/s/1ziHmHdSeQcVD03nbf-V4tA 提取碼: 5x4w