取证工具volatility插件版学习记录

更新时间:2023年12月18日11:48:29
image.png

1. 背景描述

在以前学习过volatility的基础功能,主要是使用volatility独立版进行学习的,前几天遇到一个ctf赛事,需要用到的是volatilitymimikatz模块,因为以前没使用过那个模块,当时也没时间去做,后面对其复盘分析的时候,发现配置这个volatility的插件环境还是稍微有点点的复杂的,所以在这里记录下。

在某ctf题里面,题目描述如下:

easy取证
题目内容:据情报显示,嫌疑人的电脑中藏有秘密信息,请从内存镜像中找到它,flag格式:DASCTF{xxxxxxx} 
题目难度:容易

这个赛题是一个内存取证 + wordsnow隐写

关于snow隐写的部分:https://www.cnblogs.com/xiaoqi-ctf/p/17911881.html

在这里我只对volatility的插件版如何获取密码进行学习。

在这里使用独立版volatility分析了一下,获取了进程:

./volatility -f mem.raw imageinfo

image.png

打印了当时的桌面截图:

./volatility -f mem.raw --profile=Win7SP1x64 screenshot -D  ./result

image.png

session_1.WinSta0.Default.png

从这里面看到,flag应该是在这个图片里面的,所以我就把这个内存里面的桌面还原了:

image.png
在这里插入图片描述

在这里插入图片描述

还在里面提取到了一个机密.docx文件,这个文档打开之后是空的,但是显示是有大小的,这个就是snow隐写,关于这部分,大家可以自行百度下,在这就不展开了,我只做mimikatz插件的:

后来给了直接的提示:

misc-easy取证: 利用volatility的mimikatz插件提用户密码

要求使用mimikatz来获取密码信息,如果此时直接使用独立版的volatility来获取hash的,但是发现获取的是空密码:

$ ./volatility -f mem.raw --profile=Win7SP1x64 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7ee3f236737b4c3a8f5de70ee15871a:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
CTF:1000:aad3b435b51404eeaad3b435b51404ee:692fd268ba22e3656137e7126b4c620e:::

image.png

这个密码都是空的。。。

当然,在这还有另外一种方法,使用lsadump来测试:

vol.py -f mem.raw --profile=Win7SP1x64 lsadump

image.png

但是感觉这个也对不上。。。

根据网上大佬的文章:
https://cloud.tencent.com/developer/article/2160360
可以分析到这种情况下获取的hash都是空的:

image.png

那就使用插件吧。

2. volatility安装与环境配置

在这里使用插件的话,咨询过橘子大佬之后,发现需要安装volatility完整版的,而且需要配置相应的环境才能使得插件生效,那就在这记录下。

2.1 环境准备

配置环境:kali linux2023
python环境:python2

参考文档:

https://blog.csdn.net/weixin_44895005/article/details/123917324

https://bbs.huaweicloud.com/blogs/399904

安装源码:https://github.com/volatilityfoundation/volatility 针对python2

2.2 完整版安装

在安装之前,需要配置下本地的pip2环境,因为在kali2023里面,pippip3都是python3的,并没有给python2配置pip,所以需要自己单独安装下,不然后面配置的环境都跑到python3里面去了。

image.png

所以在这里单独配置pip2

curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -o get-pip.py

然后执行安装:

python2 setup.py install

安装完之后,使用pip2看下当前的版本信息:

image.png

2.3 完整版volatility安装

然后准备安装volatility
去下载https://github.com/volatilityfoundation/volatility,然后直接安装:

python2 setup.py install

image.png
因为我已经安装过了,在这里就不截图了。
然后继续安装必须的模块。

  • crypto模块
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple

但是在你安装的时候,可能会出现报错:(类似这样的)

Command errored out with exit status 1: python setup.py egg_info Check the logs for full command ou

在这里需要对你的pip2进行升级:

pip2 install --upgrade setuptools

image.png

然后再次进行安装即可。

  • distorm3模块

在这里需要现将模块下载下来:
https://github.com/vext01/distorm3
使用命令行安装:

python2 setup.py install

image.png
如果此时执行的话,可能会报错:

image.png

在这里安装一下:

pip2 install construct 

此时基础的模块就算安装好了,在任意的命令行输入命令看下:

image.png

2.3 插件安装

在这里我只安装mimikatz的插件:

https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py

在这可以用wget这个命令把这个文件下载到本地:

wget https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py

image.png

然后需要将这个文件移动到python2volatility的插件目录下:

cd /usr/lib/python2.7/dist-packages
mkdir volatility
cd volatility
mkdir plugins

然后将这个文件复制过去:

cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/

最后对于文件赋予权限:

chmod 777 *

做完之后,开始测试:

vol.py --plugin=./ -f mem.raw --profile=Win7SP1x64  mimikatz

image.png

此时就获取到了Administrator用的密码信息:

└─# vol.py --plugin=./ -f mem.raw --profile=Win7SP1x64  mimikatzVolatility Foundation Volatility Framework 2.6.1
Module   User             Domain           Password                                
-------- ---------------- ---------------- ----------------------------------------
wdigest  Administrator    WIN-BGKRU85VR4H  H7Qmw_X+WB6BXDXa                        
wdigest  WIN-BGKRU85VR4H$ WORKGROUP  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/579982.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

6.2 Input事件类型详解

一,Keyboard事件 键盘事件可以与文本输入、导航、选择或特殊键(即具有特殊功能的键,例如音量增/减键)的使用有关。 在处理键盘事件时,应用程序关心的属性包括: 1.1 SCREEN_PROPERTY_SYM 按键被按下时产生的输出。参考sys/keycodes.h。 1.2 SCREEN_PROPERTY_FLAGS 表…

【Filament】立方体贴图(6张图)

1 前言 本文通过一个立方体贴图的例子,讲解三维纹理贴图(子网格贴图)的应用,案例中使用 6 张不同的图片给立方体贴图,图片如下。 读者如果对 Filament 不太熟悉,请回顾以下内容。 Filament环境搭建绘制三角…

HTML制作暴雨特效

🎀效果展示 🎀代码展示 <body> <!-- partial:index.partial.html --> <canvas id="canvas-club">

python消费rabbitmq

队列经常用&#xff0c;能保持信息一致性。也能跨语言&#xff0c;java写的生产者&#xff0c;推到队列中&#xff0c;python写的消费者消费。 这里&#xff0c;生成者&#xff0c;我们是java&#xff0c;已经发了一条消息了。 python是使用pika来链接rabbitmq 安装pika pip…

爬虫工作量由小到大的思维转变---<Scrapy异常的存放小探讨>

前言: 异常很正常,调试异常/日志异常/错误异常~ 但在爬虫的时候,写完代码--->运行后根本挡不住一些运行异常;于是,把异常写到了中间件~ 当然,这也没有错; 不过,其实可以直接这么设计一下... 正文: 参照一下中间件处理的异常 def process_exception(self, request, exc…

扩展mybatis-plus,保留逻辑删、逻辑查的前提下,扩展硬删除、硬查询

引入相关依赖 <!-- 提示&#xff1a;1. common-mybatis-plus:2100.8.8 中只有4个类文件&#xff0c;是对硬删除、硬查询的扩展支持&#xff0c;如果你不想引入依赖的话&#xff0c;你可以把这四个文件复制到自己的项目中即可2. common-mybatis-plus:2100.8.8 对应mybatis-p…

青少年CTF-qsnctf-Web-include01include02(多种方法-知识点较多-建议收藏!)

PHP常见伪协议 php://filter是PHP中独有的一种协议&#xff0c;它是一种过滤器&#xff0c;可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据&#xff0c;且在读取和写入之前对数据进行一些过滤&#xff0c;例如base64编码处理&#xff0c;rot13处…

Unity 渲染顺序受哪些影响(相机depth、SortingLayer、Render Queue、透明)

目录 相机深度&#xff08;Camera Depth&#xff09; Clear Flags 多相机渲染不同部分 SortingLayer 先后顺序 Render Queue Render Queue的作用 Render Queue的分类 GeometryLast&#xff08;值为2500&#xff09; 渲染顺序总结 相机深度&#xff08;Camera Depth&am…

MongoDB ReplicaSet 部署

文章目录 前言1. 环境准备2. 生成密钥3. 配置参数4. 创建 ReplicaSet5. 副本集维护5.1 新增成员5.2 移除节点5.4 主节点降级5.5 阻止选举5.6 允许副本节点读5.7 延迟观测 6. 连接副本集 后记 前言 本篇文章介绍 MongoDB ReplicaSet 如何搭建&#xff0c;及常用的维护方法。 1…

求简单表达式的值

题目&#xff1a;在键盘输入类似(56-20)/(42)这样的表达式输出结果 此题分为两部分&#xff08;1&#xff09;将表达式转换成后缀表达式&#xff08;2&#xff09;计算后缀表达式的值 需要注意的是本题要定义两个不同的栈 一个数据类型是字符&#xff0c;一个数据类型是doubl…

Spring Boot:Spring Boot 入门、yaml 配置文件给属性赋值、自动装配原理详解

文章目录 Spring Boot - 01一、概述二、第一个 Spring Boot 程序补充知识 三、配置文件1. yaml 配置文件2. 使用 yaml 配置文件给属性赋值3. 松散绑定以及数据校验4. 配置文件的位置以及多环境配置 四、Spring Boot 分析1. pom.xml2. 启动器3. 主程序4. 自动装配原理5. 主启动类…

数栈UI5.0设计实战|B端表单这样设计,不仅美观还提效

表单是B端产品中最常见的组件之一&#xff0c;主要⽤于数据收集、校验和提交。比如登陆流程的账号密码填写&#xff0c;注册流程的邮箱、用户名等信息填写&#xff0c;都是表单应用的常见案例&#xff0c;在数栈产品中也是出现频率⾮常⾼的组件。 尽管表单应用十分普遍&#x…

腾讯云4核8G服务器轻量和CVM标准型S5对比

腾讯云4核8G服务器优惠价格表&#xff0c;云服务器CVM标准型S5实例4核8G配置价格15个月1437.3元&#xff0c;5年6490.44元&#xff0c;轻量应用服务器4核8G12M带宽一年446元、529元15个月&#xff0c;阿腾云atengyun.com分享腾讯云4核8G服务器详细配置、优惠价格及限制条件&…

网络通信协议

WebSocket通信 WebSocket是一种基于TCP的网络通信协议&#xff0c;提供了浏览器和服务器之间的全双工通信&#xff08;full-duplex&#xff09;能力。在WebSocket API中&#xff0c;浏览器和服务器只需要完成一次握手&#xff0c;两者之间就直接可以创建持久性的连接&#xff…

我们可以创建一个包含可变对象的不可变对象吗?

不可变对象是指一旦创建其状态就无法更改的对象。任何修改都会产生一个新对象&#xff0c;例如String、Integer和其他包装类。 请参阅在 Java 中创建不可变类的分步指南http://t.csdnimg.cn/8muWz。我们可以创建一个包含可变对象的不可变对象吗&#xff1f; 是的&…

虚幻学习笔记16—C++和3DUI(二)

一、前言 上一篇虚幻学习笔记15—C和UI&#xff08;一&#xff09;中介绍了通过C代码创建2D的ui&#xff0c;本章主要讲解怎么用C代码创建3D的UI&#xff0c;在虚幻学习笔记3—UI跟随弹窗这章中讲解了怎样用蓝图创建一个3D的UI&#xff0c;并且和其交互。 本系列使用的虚幻5.2.…

【Tensor张量】AI模型的信息流通货币

官方解释https://www.tensorflow.org/guide/tensor?hl=zh-cn 1.Tensor的概念理解 如果大模型是一个会运行的城市工厂,那么Tensor就是 运输车! 如果大模型是计算机,那么Tensor就是硬盘。 负责深度学习数据的运输和存储!把数据送给AI模型进行训练,AI模型推理后的数据也…

操作系统“文艺复兴”,云数智融合涌现“美第奇效应”

操作系统作为信息技术中的基础软件&#xff0c;是现代计算机的“灵魂”。随着大模型AI推动云计算、大数据、人工智能、物联网和5G等新一代数字技术的飞速融合&#xff0c;现代计算机体系结构和软件架构面临着重大创新机遇期。图灵奖获得者John Hennessy和David Patterson早在20…

探索未来的方向

运维工程师的出路到底在哪里&#xff1f; 随着技术的不断发展和进步&#xff0c;运维行业也在不断演变。对于许多运维人员来说&#xff0c;他们可能会感到困惑&#xff0c;不知道自己的出路在哪里。本文将探讨运维人员未来的发展方向和机会。 首先&#xff0c;对于那些对技术有…

接口测试学习笔记

文章目录 认识urlhttp协议接口规范Postman实现接口测试设计接口测试用例使用软件发送请求并查看响应结果Postman 自动关联Postman如何提交multipart/form-data请求数据Postman如何提交查询参数Postman 如何批量执行用例单接口测试Postman 断言Postman参数化 接口测试自动化requ…