2019红帽杯-MISC-WriteUp(更新中)

时间：2019-11-19 01:25:38 阅读：182 评论：0 收藏：0 [点我收藏+]

标签：ola 查看进程 table com data grep 程序多次 col

前言：

　　前阵子玩了玩今年的红帽杯，题目质量很高，值得记录一下。

　　题目见：https://github.com/DrsEeker/redhat2019

0x01: Advertising for marriage

拿到题目，是一个500多M的RAW文件，可知这是一道内存取证题目，使用内存取证工具Volatility进行分析：

使用格式:Volatility -f [imgfile] [command]

发现是WindowsXPSP2，查看进程信息：

Volatility -f [imgfile] --profile=WinXPSP2 psscan

技术图片

发现两个可疑进程：notepad.exe(记事本)和mspaint.exe(画图)

查看记事本内容：Volatility -f [imgfile] --profile=WinXPSP2x86 notepad

技术图片

看到提示：????needmoneyandgirlfirend(吐槽一下，这里的girlfriend还打错了)

前四个字符不可知，dump画图进程：

Volatility -f [imgfile] --profile=WinXPSP2x86 memdump -p [pid] --dump-dir [outdir]

技术图片

使用GIMP工具载入原始图像数据(先重命名后缀为data)，具体操作：

技术图片

调整位移可以调整图像在内存中的偏移，调整高度和宽度则是图像分辨率，先调整高度至一个适合的值，再调整宽度，再慢慢调整位移，可以得到进程在内存中的图像信息。

hint:每个宽度与高度均对应了一个分辨率，不同分辨率可以呈现的画面是不同的

经过我的多次调试后发现，把图像宽度调至960可以发现：

技术图片

其中的图片是镜像的，这便是画图界面在内存中的图像信息，镜像反转后可以得到b1cx这四个字符，结合notepad中提取的hint可以得到：b1cxneedmoneyandgirlfirend

到现在并没有发现一些直截了当的信息，于是，转变方向，我们可以尝试查看一下桌面上有什么内容：

volatility -f [imgfile] --profile=[imgversion] filescan | grep [arg]

技术图片

可以看到桌面上有Dump It.exe(就是这个程序生成的内存dump文件，即我们拿到的题目文件),HP-xxxx.raw(这个raw文件就是我们的题目文件了),vegetable.png(可疑，dump下来看看)

volatility -f [imgfile] --profile=[imgversion] dumpfiles -Q [file_offset] --dump-dir [outdir]

技术图片

查看dump出的图片:

技术图片

打开图片时遇到错误，提示CRC校验出错，猜测是高度或者宽度有问题，利用CRC爆破可以得到图片的正确高度为：

技术图片

贴上脚本:

# -*- coding: utf-8 -*-
import binascii
import struct
crc32key = 0xB80A1736
height = 0
width = 0x11f
for i in range(0, 0xffff):
  height = struct.pack(‘>i‘, i)
  #width = struct.pack(‘>i‘,i)
  data = ‘\x49\x48\x44\x52‘ + struct.pack(‘>i‘,width) + height + ‘\x08\x06\x00\x00\x00‘ #爆破高度用
  #data = ‘\x49\x48\x44\x52‘ + width + struct.pack(‘>i‘,height) + ‘\x08\x06\x00\x00\x00‘ #爆破宽度用
  crc32result = binascii.crc32(data) & 0xffffffff
  if crc32result == crc32key:
    print(‘‘.join(map(lambda c: "%02X" % ord(c), height)))