内 存 取 证
1.用户密码
从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位);
1)查看帮助 -h
./volatility_2.6_lin64_standalone -h
2)获取内存镜像文件的信息 imageinfo
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem imageinfo
3)提取操作系统内存中的用户密码哈希值 hashdump
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hashdump
4)提取操作系统本地安全屏障权限数据库(LSA Secrets)中存储的敏感信息 lsadump
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 lsadump
Flag{admin,H8d*or}
2.ip地址和主机名
获取当前系统ip地址及主机名,以Flag{ip:主机名}形式提交;
1)分析内存中的网络活动信息 netscan
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan
2)列举内存中加载的 Windows 注册表文件(hive)的位置和相关信息
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hivelist
\REGISTRY\MACHINE\SYSTEM 是 Windows 操作系统中的一个关键注册表 hive(文件)。它保存着系统级别的配置信息,包括硬件配置、设备驱动程序、服务和安全设置等。
3)查找并打印指定注册表键的内容 printkey
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem -- profile=Win7SP1x64 -o 0xfffff8a000024010 printkey
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"
#
-o 0xfffff8a000024010选项指定了要打印的注册表键的物理地址,而
-K "ControlSet001"是指定要打印的注册表键的路径。
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
#
-o 0xfffff8a000024010是一个选项,它指定了要打印的注册表键的物理地址。
-K "ControlSet001\Control\ComputerName\ComputerName"是指定要打印的注册表键的路径。具体来说,这个路径是ControlSet001下的Control子键下的ComputerName子键下的ComputerName值。
Flag{192.168.232.129:CXKKA2ZCLKN}
3.当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交;
一般存在矿池就有不正常的服务,异常计算资源使用,可疑进程名称,高度持续运行的进程或者异常网络流量
1)扫描内存中的网络连接信息并将其显示出来
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan
Flag{51.254.84.37}
4.恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交
根据上一题得到1716
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pslist -p 1716
扫描和列举服务信息的插件
5.从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交;
1)提取和分析进程的命令行信息的插件
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 cmdline
2)扫描和分析内存中的文件信息 filescan
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 filescan
3)扫描和分析内存中的文件信息,将结果传递给 “grep” 命令进行筛选,以找到包含指定关键词的文件,如文本文件 (“txt”)、图片文件 (“png”, “jpg”, “gif”) 和桌面文件 (“desktop”)
./volatility_2.6_lin64_standalone --file = neicun (内存取证文件) .vmem --profile = Win7SP1x64 filescan | grep -i "txt\|png\|flag\|jpg\|gif\|desktop"
4)提取的文件将保存在当前目录中
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ./
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f832360 -D ./
用十六进制打开第一个文件
.png的文件头89504E47
用十六进制打开第一个文件
.png的文件尾89504E47
复制第二个文件到第一个文件下面合并为一个并保存
打开得到flag
相关文章:
内 存 取 证
1.用户密码 从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位); 1)查看帮助 -h ./volatility_2.6_lin64_standalone -h 2)获取内存镜像文件的信息 imageinfo ./volatility_2.6_lin64_stand…...
【PHP】价格区间字段验证,如4万-5万
参数值示例: $str1 "4万-5万"; $str2 "4万-5万元"; $str3 "5万元以内"; 以下是一个PHP示例,用于检查字符串是否满足要求: function checkString($str) {// 检查字符串中是否包含"-"或"以内…...
安徽省暨合肥市“希望工程·梦想计划”小盖茨机器人捐赠启动仪式举行
1月5日,安徽省暨合肥市“希望工程梦想计划”小盖茨机器人捐赠启动仪式在合肥市一六八玫瑰园学校东校区举行。共青团安徽省委副书记叶征,北京儒布特教育科技有限公司董事牛俊明,北京儒布特教育科技有限公司市场总监高进,安徽省青基…...
Kafka消息存储
一、层次结构 具体到某个broker上则是, 数据目录/分区名/日志相关文件集合。其中日志文件集合内包括.log文件, index索引文件和.timeindex时间戳索引文件。 二、.log 结构 .log中记录具体的消息。一般消息由header和body组成, 这点儿在Kafka消息中也同样适用。 message MES…...
【Vue3+Ts项目】硅谷甄选 — 用户管理+角色管理+菜单管理+首页
一、用户管理 1.1 接口 1.1.1 接口定义 src/api/acl/user/index.ts // 用户管理模块的接口 import request from /utils/request import type {AllRoleResponseData,SetRoleData,User,UserResponseData } from ./type enum API {// 获取全部已有用户账号信息ALLUSER_URL /…...
node连接Mysql失败
报错信息 Error: connect ETIMEDOUTat Connection._handleConnectTimeout (d:\课设\服务器端\node_modules\mysql\lib\Connection.js:409:13)at Object.onceWrapper (node:events:628:28)at Socket.emit (node:events:514:28)at Socket._onTimeout (node:net:589:8)at listOnT…...
)
运用AI搭建中间服务层(四)
MiddlewareService文件夹 在这个文件夹中,我们需要添加以下文件: 名人服务.cs 名人服务.cs 名人结果.cs ILandmarkService.cs 地标服务 .cs 地标结果 .cs ICelebrityService.cs – 包装多个串行的认知服务来实现名人识别的中间服务层的接口定义&…...
[C#]winform部署yolov5-onnx模型
【官方框架地址】 https://github.com/ultralytics/yolov5 【算法介绍】 Yolov5,全称为You Only Look Once version 5,是计算机视觉领域目标检测算法的一个里程碑式模型。该模型由ultralytics团队开发,并因其简洁高效的特点而备受关注。Yol…...
基于SpringBoot的洗衣店管理系统
基于SpringBoot的洗衣店管理系统的设计与实现~ 开发语言:Java数据库:MySQL技术:SpringBootMyBatis工具:IDEA/Ecilpse、Navicat、Maven 系统展示 登录界面 可视化展示 用户界面 管理员界面 摘要 洗衣店管理系统基于Spring Boot框…...
AMEYA360:广和通RedCap模组FG131FG132系列
2024年1月,广和通RedCap模组FG131&FG132系列已进入工程送样阶段,可为终端客户提供样片。广和通RedCap模组系列满足不同终端对5G速率、功耗、尺寸、成本的需求,全面助力RedCap技术的行业应用。 FG131&FG132系列基于骁龙X35 5G调制解调…...
RGB,RGB-D,单目,双目,sterro相机,实例相机介绍
相机—特点及区别 1.相机种类 RGB,RGB-D,单目,双目,sterro相机,实例相机 2.相机特点 2.1单目 只使用一个摄像头进行SLAM,结构简单,成本低 三维空间的二维投影 必须移动相机,才…...
【linux】history命令显示时间的例子
在Linux中,你可以通过设置HISTTIMEFORMAT环境变量来显示命令的执行时间。这个环境变量定义了history命令中时间的显示格式。以下是设置和说明的步骤: 打开终端: 打开你的终端应用。 编辑配置文件: 使用文本编辑器(如n…...
Nginx负载均衡以及常用的7层协议和4层协议的介绍
一、引言 明人不说暗话,下面来解析一下 Nginx 的负载均衡。需要有 Linux 和 Nginx 环境哈。 二、nginx负载均衡的作用 高并发:负载均衡通过算法调整负载,尽力均匀的分配应用集群中各节点的工作量,以此提高应用集群的并发处理能力…...
【机器学习300问】4、机器学习到底在学习什么?
首先我们先了解一个前置问题,再回答机器学习到底在学习什么。 一、求机器学习问题有哪几步? 求解机器学习问题的步骤可以分为“学习”和“推理”两个阶段。首先,在学习阶段进行模型的学习,然后,在推理阶段用学到的模型…...
设计一个简易版的数据库路由
👏作者简介:大家好,我是爱吃芝士的土豆倪,24届校招生Java选手,很高兴认识大家📕系列专栏:Spring原理、JUC原理、Kafka原理、分布式技术原理、数据库技术🔥如果感觉博主的文章还不错的…...
接口自动化测试面试题
前言 前面总结了一篇关于接口测试的常规面试题,现在接口自动化测试用的比较多,也是被很多公司看好。那么想做接口自动化测试需要具备哪些能力呢? 也就是面试的过程中,面试官会考哪些问题,知道你是不是真的做过接口自动…...
Tampermonkey油猴插件-各大网盘批量分享,解放双手-上
Unity3D特效百例案例项目实战源码Android-Unity实战问题汇总游戏脚本-辅助自动化Android控件全解手册再战Android系列...
【DB2】installSAM执行后会重启这件事
碎碎念 在使用自动化工具安装TSAMP的过程中,机器会自动重启这件事。 TSAMP真的挺折磨的,一个月居然因为这件事情debug两次了。 在测试自动化脚本的时候,第一遍安装都是好好的,从第二遍开始(因为要测试脚本的幂等性&…...
RTSP网络视频协议
一.RTSP网络视频协议介绍 RTSP是类似HTTP的应用层协议,一个典型的流媒体框架网络体系可参考下图,其中rtsp主要用于控制命令,rtcp主要用于视频质量的反馈,rtp用于视频、音频流从传输。 1、RTSP(Real Time Streaming P…...
Python 网络数据采集(四):Selenium 自动化
Python 网络数据采集(四):Selenium 自动化 前言一、背景知识Selenium 4Selenium WebDriver 二、Selenium WebDriver 的安装与配置2.1 下载 Chrome 浏览器的驱动程序2.2 配置环境变量三、Python 安装 Selenium四、页面元素定位4.1 选择浏览器开…...
使用VSCode开发Django指南
使用VSCode开发Django指南 一、概述 Django 是一个高级 Python 框架,专为快速、安全和可扩展的 Web 开发而设计。Django 包含对 URL 路由、页面模板和数据处理的丰富支持。 本文将创建一个简单的 Django 应用,其中包含三个使用通用基本模板的页面。在此…...
SkyWalking 10.2.0 SWCK 配置过程
SkyWalking 10.2.0 & SWCK 配置过程 skywalking oap-server & ui 使用Docker安装在K8S集群以外,K8S集群中的微服务使用initContainer按命名空间将skywalking-java-agent注入到业务容器中。 SWCK有整套的解决方案,全安装在K8S群集中。 具体可参…...
YSYX学习记录(八)
C语言,练习0: 先创建一个文件夹,我用的是物理机: 安装build-essential 练习1: 我注释掉了 #include <stdio.h> 出现下面错误 在你的文本编辑器中打开ex1文件,随机修改或删除一部分,之后…...
Nuxt.js 中的路由配置详解
Nuxt.js 通过其内置的路由系统简化了应用的路由配置,使得开发者可以轻松地管理页面导航和 URL 结构。路由配置主要涉及页面组件的组织、动态路由的设置以及路由元信息的配置。 自动路由生成 Nuxt.js 会根据 pages 目录下的文件结构自动生成路由配置。每个文件都会对…...
跨链模式:多链互操作架构与性能扩展方案
跨链模式:多链互操作架构与性能扩展方案 ——构建下一代区块链互联网的技术基石 一、跨链架构的核心范式演进 1. 分层协议栈:模块化解耦设计 现代跨链系统采用分层协议栈实现灵活扩展(H2Cross架构): 适配层…...
【git】把本地更改提交远程新分支feature_g
创建并切换新分支 git checkout -b feature_g 添加并提交更改 git add . git commit -m “实现图片上传功能” 推送到远程 git push -u origin feature_g...
涂鸦T5AI手搓语音、emoji、otto机器人从入门到实战
“🤖手搓TuyaAI语音指令 😍秒变表情包大师,让萌系Otto机器人🔥玩出智能新花样!开整!” 🤖 Otto机器人 → 直接点明主体 手搓TuyaAI语音 → 强调 自主编程/自定义 语音控制(TuyaAI…...
高防服务器能够抵御哪些网络攻击呢?
高防服务器作为一种有着高度防御能力的服务器,可以帮助网站应对分布式拒绝服务攻击,有效识别和清理一些恶意的网络流量,为用户提供安全且稳定的网络环境,那么,高防服务器一般都可以抵御哪些网络攻击呢?下面…...
JVM虚拟机:内存结构、垃圾回收、性能优化
1、JVM虚拟机的简介 Java 虚拟机(Java Virtual Machine 简称:JVM)是运行所有 Java 程序的抽象计算机,是 Java 语言的运行环境,实现了 Java 程序的跨平台特性。JVM 屏蔽了与具体操作系统平台相关的信息,使得 Java 程序只需生成在 JVM 上运行的目标代码(字节码),就可以…...
计算机基础知识解析:从应用到架构的全面拆解
目录 前言 1、 计算机的应用领域:无处不在的数字助手 2、 计算机的进化史:从算盘到量子计算 3、计算机的分类:不止 “台式机和笔记本” 4、计算机的组件:硬件与软件的协同 4.1 硬件:五大核心部件 4.2 软件&#…...