第一届solar应急响应比赛- 内存取证

本文作者:SwBack 创作时间:‎2026‎年05月19日 16:41:56 知乎:https://www.zhihu.com/people/back-88-87 CSDN:https://blog.csdn.net/qq_30817059 百度搜索: SwBack 微信公众号太阿安全链接: https://pan.baidu.com/s/1scRYadkZ1g4eRxo2CKtOgw?pwd74qd 提取码: 74qd所有附件解压密码均为 KzXGabLkDjsj3afAayNmD内存取证-1题目文件SERVER-2008-20241220-162057 请找到rdp连接的跳板地址 flag格式 flag{1.1.1.1}获取 imageinfovolatility.exe -f SERVER-2008-20241220-162057.rawrdp 跳板地址, 查看网络连接 3389 端口,得到flag{192.168.60.220}volatility.exe -f SERVER-2008-20241220-162057.raw --profileWin7SP1x64 netscan内存取证-2题目文件SERVER-2008-20241220-162057 请找到攻击者下载黑客工具的IP地址 flag格式 flag{1.1.1.1}flag{155.94.204.67}plist 查看进程,看到存在 powershell.exe, 然后查看命令内存取证-3题目文件SERVER-2008-20241220-162057 攻击者获取的“FusionManager节点操作系统帐户业务帐户”的密码是什么 flag格式 flag{xxxx}上一题,看到存在 mimikatz.exe 获取密码的命令。 直接执行 consoles 查看命令输出结果看到桌面存在 pass.txt里面存在若干密码。filescan 扫描,过滤该文件的虚拟地址。然后利用 dumpfiles 将文件提取出来。内存取证-4题目文件SERVER-2008-20241220-162057 请找到攻击者创建的用户 flag格式 flag{xxxx}直接查看系统用户 信息不是Testuser就是ASP.NET, id 1000 及以后才是用户创建的。volatility.exe -f SERVER-2008-20241220-162057.raw --profileWin7SP0x64 hashdump内存取证-5题目文件SERVER-2008-20241220-162057 请找到攻击者利用跳板rdp登录的时间 flag格式 flag{2024/01/01 00:00:00}pslist 直接找 winlogon 时间结果8, 因为时区问题 flag{2024/12/21 00:15:34}内存取证-6题目文件SERVER-2008-20241220-162057 请找到攻击者创建的用户的密码哈希值 flag格式 flag{XXXX}送分.flag{5ffe97489cbec1e08d0c6339ec39416d}