高校战“疫” MISC ez_mem&usb Writeup

博主： h3110w0r1d
发布时间：2020 年 03 月 08 日
1789 次浏览
暂无评论
1306字数
分类： WriteUp

高校战“疫” MISC ez_mem&usb Writeup

题目附件

链接：https://pan.baidu.com/s/16f7Fi3dCec_ID_lGrSOmNQ
提取码：dixr

题目说明

usb内存取证，最终得到的结果需要转换为小写字母

解题步骤

解压附件得到流量包, 打开流量包, 追送TCP流, 发现压缩包, 导出原始数据, 保存为zip

解压得到data.vmem

将data.vmem放入kali中, 用foremost命令分离出了一大堆东西, 翻了一下发现一个加密的压缩包, 里面有usbdata.txt, 先放一边, 继续分析data.vmem

用volatility分析文件, 执行volatility -f data.vmem imageinfo得到系统版本

用volatility -f data.vmem --profile=WinXPSP2x86 pslist命令看一下进程, 发现有cmd.exe

再用volatility -f data.vmem --profile=WinXPSP2x86 cmdscan查看命令行中输入了什么
发现passwd, 用这个密码取解密刚才的压缩包

解密后打开usbdata.txt, 发现是USB数据, google一下USB协议文档

在这个文档里找到了USB协议
https://patentimages.storage.googleapis.com/6d/6c/15/46fc9661672590/CN102662431A.pdf
对照协议, 得到了flag

flag{69200835784ec3ed8d2a64e73fe913c0}

最后修改：2020 年 07 月 15 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
本站使用cookie保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱

地址

粉丝
为什么GitHub的burpsuite的BurpLoaderK...
单
可以查找出字符串strings xxxx.pcap | gre...

高校战“疫” MISC ez_mem&usb Writeup

h3110w0r1d • 2020 年 03 月 08 日

<h1>高校战“疫” MISC ez_mem&usb Writeup</h1><h2>题目附件</h2><p>链接：<span class="external-link"><a class="no-external-link" href="https://pan.baidu.com/s/16f7Fi3dCec_ID_lGrSOmNQ" target="_blank"><i data-feather="external-link"></i>https://pan.baidu.com/s/16f7Fi3dCec_ID_lGrSOmNQ</a></span> <br>提取码：dixr</p><h2>题目说明</h2><p>usb内存取证，最终得到的结果需要转换为小写字母</p><h2>解题步骤</h2><p>解压附件得到流量包, 打开流量包, 追送TCP流, 发现压缩包, 导出原始数据, 保存为zip<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ截图20200308000150.png" title="QQ截图20200308000150.png" style=""data-original="/usr/uploads/2020/03/2265079040.png"></p><p>解压得到<code>data.vmem</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ截图20200308000239.png" title="QQ截图20200308000239.png" style=""data-original="/usr/uploads/2020/03/2254323185.png"></p><p>将<code>data.vmem</code>放入kali中, 用foremost命令分离出了一大堆东西, 翻了一下发现一个加密的压缩包, 里面有usbdata.txt, 先放一边, 继续分析<code>data.vmem</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ截图20200308000347.png" title="QQ截图20200308000347.png" style=""data-original="/usr/uploads/2020/03/786691653.png"></p><p>用volatility分析文件, 执行<code>volatility -f data.vmem imageinfo</code>得到系统版本<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ图片20200307235640.png" title="QQ图片20200307235640.png" style=""data-original="/usr/uploads/2020/03/162473851.png"></p><p>用<code>volatility -f data.vmem --profile=WinXPSP2x86 pslist</code>命令看一下进程, 发现有<code>cmd.exe</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ截图20200307235838.png" title="QQ截图20200307235838.png" style=""data-original="/usr/uploads/2020/03/4204885322.png"></p><p>再用<code>volatility -f data.vmem --profile=WinXPSP2x86 cmdscan</code>查看命令行中输入了什么<br>发现passwd, 用这个密码取解密刚才的压缩包<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ截图20200307235926.png" title="QQ截图20200307235926.png" style=""data-original="/usr/uploads/2020/03/1528396753.png"></p><p>解密后打开<code>usbdata.txt</code>, 发现是USB数据, google一下USB协议文档<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="QQ截图20200308000510.png" title="QQ截图20200308000510.png" style=""data-original="/usr/uploads/2020/03/2439670385.png"></p><p>在这个文档里找到了USB协议<br><span class="external-link"><a class="no-external-link" href="https://patentimages.storage.googleapis.com/6d/6c/15/46fc9661672590/CN102662431A.pdf" target="_blank"><i data-feather="external-link"></i>https://patentimages.storage.googleapis.com/6d/6c/15/46fc9661672590/CN102662431A.pdf</a></span><br>对照协议, 得到了flag</p><pre><code class="lang-flag">flag{69200835784ec3ed8d2a64e73fe913c0}</code></pre>