OtterCTF 2018
一、[OtterCTF 2018]What the password?
1.使用volatility2获取内存镜像的版本信息
python2 vol.py -f '/home/cpyq/Desktop/OtterCTF.vmem' imageinfo
2.使用mimikatz直接获得密码和用户信息
python2 vol.py -f '/home/cpyq/Desktop/OtterCTF.vmem' --profile=Win7SP0x64 mimikatz
二、[OtterCTF 2018]General Info
1.要求获得PC名字和IP地址,使用mimikatz获得的Domain就是PC名字,使用netscan获取网络传输信息,可以看到local address栏中最可疑的就是192.168.202.131
python2 vol.py -f '/home/cpyq/Desktop/OtterCTF.vmem' --profile=Win7SP0x64 netscan
三、[OtterCTF 2018]Play Time
1.题目要求找出玩的游戏的名称和服务器的IP地址,还是使用netscan查看网络传输信息,可以看到chrome.exe、svchost.exe等程序,逐个查找名称可以找到LunarMS.exe,是一个游戏的程序,那么游戏名字就是LunarMS
2.这个exe对应的Foreign Address就是游戏的服务器地址,即为77.102.199.102
四、[OtterCTF 2018]Silly Rick
1.题目中提示“copy and paste”,直接找剪切板,得到密码
python2 vol.py -f '/home/cpyq/Desktop/OtterCTF.vmem' --profile=Win7SP0x64 clipboard
五、[OtterCTF 2018]Name Game
1.使用srings方法直接搜索关键词 Lunar-3,显示关键词下的十行内容,0tt3r8r33z3就是需要的名字内容
strings '/home/cpyq/Desktop/OtterCTF.vmem' | grep -C 10 "Lunar-3"
六、[OtterCTF 2018]Hide And Seek
1.提示需要找到恶意进程软件的名字,使用pslist先列出进程名称
python2 vol.py -f '/home/cpyq/Desktop/OtterCTF.vmem' --profile=Win7SP0x64 pslist
2.在进程中发现了一个特别的名称Rick And Morty,百度一下发现是一个影片
3.猜测就是在下载时,携带了恶意软件,它附近的exe,经尝试,最终是vmware-tray.exe
七、[OtterCTF 2018]Name Game 2
1.需要游戏对应的内存文件进行分析,先将LunarMS.exe对应的内存dump下来,命令如下: