【CTF大赛】陇剑杯-机密内存-解题过程分析

最新推荐文章于 2026-06-18 12:15:05 发布
原创 最新推荐文章于 2026-06-18 12:15:05 发布 · 3.7k 阅读 · 21
标签
#网络安全 #计算机网络 #信息安全

在这里插入图片描述

前言

机密内存这道题是陇剑杯中的压轴题,题目中涉及到使用VMware加密功能进行加密的内存镜像,难度极大。我在这里详细的记录一下解题思路和过程,如有错误或疏漏的地方还请大佬们在评论区指出。

题目初探

拿到题目,为三个文件,其中mem_secret-963a4663.vmem为常见内存镜像文件,另外两个文件格式未知。

使用volatility进行分析无法识别profile。
在这里插入图片描述
接着分析分析Encryption.bin01和Encryption.bin02文件,初步分析Encryption.bin01文件,无法发现任何端倪。

Encryption.bin02内可见字符较多,通过strings命令可以判断出Encryption.bin02是使用Vmware加密后的vmx虚拟机配置文件

在这里插入图片描述
这里介绍一下虚拟机的配置文件vmx,改文件位于虚拟机实例的主目录下,用于记录虚拟机的配置——如虚拟机的内存、硬盘型号等,可以通过打开这个虚拟机文件以启动虚拟机的操作系统,我们也通过编辑该文件实现某种对虚拟机的配置需求。

对于同一虚拟机,在使用虚拟机加密操作前的vmx文件与加密后vmx文件是有所不同的:
在这里插入图片描述
未加密的vmx文件是明文显示的,显示了这个虚拟机的显示名称,cpu配置,内存配置等等。下图是为未加密的vmx文件。
在这里插入图片描述
在虚拟机——设置——选项——访问控制处可以配置虚拟机加密,加密后的vmx内容如下图所示,可以看到:之前以明文形式呈现的配置内容全部加密显示,无法获取这个虚拟机的配置详细信息了,并且多了keySafe内容,就存在这里。如下图:
在这里插入图片描述
加密后的配置只需要.encoding、displayName、encryption.keySafe和encryption.data字段的内容,.encoding为虚拟机配置文件的编码,displayName为虚拟机的名称,encryption.keySafe字段存储了虚拟机密码,格式为vmware:key/list/xxxxxxxxx ,encryption.data是原来明文数据加密过后的结果。

但是对Encryption.bin02和加密的vmx进行对比,在Encryption.bin02的结尾还有一段冗余数据:
在这里插入图片描述
分析这段数据,对比加密的虚拟机,通过lsiogic关键词以及内容的偏移占用空间可以确定该内容为加密虚拟机的vmdk部分

最低0.47元/天 解锁文章
CTF--比赛题目解题思路(陇剑--简单题目(萌新)
没有
09-14 5372
CTF–比赛题目解题思路(陇剑)–简单题目(萌新) 1.webshell(单位网站被黑客挂马,请您从流量中分析出webshell,进行回答)–黑客登录系统使用的密码是 通过得到的是hack.pcap流量包,放到wireshark中通过字符串搜索得到,password为Admin123!@# 2.日志分析分析–攻击流量,黑客往/tmp目录写入一个文件,文件名为 首先用notepad++打开,首先ctr+a全选安装下图1,2,3将url解码。 在搜索栏中搜索tmp得到下面结果:sess_car
CTF-MISC 杂项出题思路与解题思路
Jang2023的博客
06-30 3098
ctf 夺旗赛解题思路 misc杂项
收藏这篇就够了!全网最全 CTF 真题深度讲解,比赛题型与详细解析全覆盖
程序员若风的博客
04-25 458
本文解析CTF竞赛中的核心题型,包括Web安全、逆向工程、密码学和二进制漏洞利用。Web题型涉及SQL注入等漏洞利用;逆向工程要求拆解程序逻辑找出关键信息;密码学题考察RSA等算法的破解;二进制漏洞利用则通过溢出攻击获取系统控制权。文章结合典型真题,详细介绍了各类题型的解题思路、工具使用和关键技术点,如Web注入的Payload构造、逆向调试技巧、密码学攻击模式及Pwn题的ROP链构造,旨在提升读者在CTF竞赛中的实战能力。
首届“陇剑网络安全大赛(部分WP)
weixin_46245411的博客
09-15 7287
浅谈~ 博主当成一次个人赛玩玩,没想到这次比赛的赛题类型还是很新颖的,基本都是MISC类型的题目 我这里上传了题目在百度云上,希望UU们手下留情~别让它爆了陇剑题目(提取码:vuno) 话不多说,直接上题解!! 1.1 使用wireshark打开其中的“Good.pcapng”流量包 发现有HTTP包,直接过滤HTTP包,再结合题目给出的提示,没有发现dns、ftp包,所以判断出是http协议攻击: 所以选择“http”协议的网络攻击 2.1 使用wireshark.
陇剑2021(一)
wha1e的博客
06-27 2175
陇剑2021(一)
备战CTF做题题解
weixin_40707492的博客
07-21 7741
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
Flask Session解密实战:从CTF流量分析到真实渗透测试的应用
weixin_29224589的博客
03-19 424
本文深入解析Flask Session的安全机制与实战应用,从CTF流量分析到企业渗透测试的全流程。通过解密Session、密钥破解和权限提升等实战案例,揭示Flask Session的安全风险及防御策略,帮助安全工程师构建更健壮的Web应用防护体系。
玄域靶场实战漏洞报告:从漏洞挖掘到专业报告撰写的进阶指南
最新发布
weixin_33691700的博客
06-18 393
网络安全领域,漏洞挖掘与渗透测试是核心技能,其价值在于发现并修复系统潜在风险,保障业务安全。其原理是通过模拟攻击者行为,利用技术或逻辑缺陷验证系统脆弱性。掌握这项技能不仅能提升个人攻防能力,更是企业安全建设的关键环节,广泛应用于渗透测试、红蓝对抗与安全众测等场景。本文聚焦于如何将技术发现转化为专业输出,深入解析了以“漏洞报告”为终点的实战训练闭环。通过玄域靶场新上线的“实战漏洞报告”板块,学习者能系统性锻炼从信息收集、漏洞验证到风险评估与报告撰写的完整能力,尤其强化了针对“业务逻辑漏洞”和“IDOR(不安
陇剑 2021 write up整理
weixin_43234021的博客
10-09 9727
竞赛 write up 收集和整理一 羊城 2021 write up收集和整理1 web2 Misc1 签到题3 Crypto4 Reverse4.1 Ez_android5 PWN 一 羊城 2021 write up收集和整理 1 web 2 Misc 1 签到题 <?php echo("SangFor{".md5("28-08-30-07-04-20-02-17-23-01-12-19")."}"); ?> 图1是二八定律(28),图2是八卦(8),图3是三十而立(30),图4是北
CTF比赛总结(小白必看)
qq_53272273的博客
05-23 2万+
它被设计为tcpdump 和其他使用 libpcap 库的软件使用的原始 PCAP格式的可扩展继承者.目前,只有 Wireshark 可以读取和写入 PCAPNG 文件,而 libpcap(以及使用它的软件)只能读取其中一些文件。:用16进制编辑工具更改图片的高度,会只显示图片的一部分,下面的部分就被隐藏了,可以先看看图片的属性,得到宽高值,找表示宽度和高度的位置的再转成16进制。特征:文由0和1构成,可能由空格、tab或则其他字符分割,去掉这些分割后,0和1的总数是5的倍数。
首届“陇剑网络安全大赛
m0_52484587的博客
08-27 560
分析到上图的这个包时,由于我们已经知道了 looter.so是恶意编译的文件,然后我们通过上图又看到 这个恶意文件与一个配置文件进行了一些操作,那么被修改的配置文件就是这个 /etc/pam.d/common.auth 提交后发现答案正确。让我们通过日志分析,找到黑客攻击的参数,这道题目十分的简单,我们通过下面这张图可以看到 只有一个 user参数被利用了,所以很明显黑客攻击的参数就是user。发现一个文件“1.php”,猜测这个就是黑客上传的代码形成的文件。
CTF解题-网安实验室(基础关)
道阻且长,行则将至
09-07 2714
Base64 编码 什么是Base64编码? 在参数传输的过程中经常遇到的一种情况:使用全英文的没问题,但一旦涉及到中文就会出现乱码情况。与此类似,网络上传输的字符并不全是可打印的字符,比如二进制文件、图片等。Base64的出现就是为了解决此问题,它是基于64个可打印的字符来表示二进制的数据的一种方法。 Base64,就是使用64个可打印字符来表示二进制数据的方法。Base64的索引与对应字符的关...
2021陇剑网络安全大赛wp-JWT部分(详细题解)
偷一个月亮
09-15 8246
2021陇剑网络安全大赛-JWT部分(详细题解) 2.1 token特征 eyJ 2.2 2.3 2.4 2.5 2.6
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 4万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
数字取证学习之内存取证CTF解题实例
一位热爱网安的年轻人的博客
11-19 2815
数字取证之内存取证CTF解题案例
2023第二届陇剑wp(ak)
Ahi0upsec的博客
08-28 5354
ak数据分析部分wp。
第二届“陇剑网络安全大赛线上赛write up2023
m0_52484587的博客
09-01 5394
题目内容:服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了80 81 82 83端口,则答案为80,81,82,83)过滤器:ip.dst == 192.168.162.188 and tcp.connection.synack。
CTF | CTF比赛题解分享
hackzkaq的博客
10-09 9747
前言:由于此次比赛的题目较多,所以这是这个比赛的第一篇wp,共20题,先记录一下,防止忘记。里面有些题目是新手题较为简单,但也有许多有意思的题目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
2021陇剑线上——机密内存取证
m0_46296905的博客
06-29 2976
给了我们三个文件,有一个vmem文件,vmem即虚拟机的内存文件,首先尝试直接用volatility分析使用volatility进行直接分析发现无法识别profile另外两个文件的文件类型不明,需要我们自行判断,但可以肯定的是其它类型的虚拟机文件查阅了相关资料了解了一下虚拟机文件类型及其作用下面是vmware官方文档中给出的虚拟机文件类型说明再观察一下两个文件的内容,有个很明显的特征就是这个文件一半是可打印字符,一半是乱码,注意到乱码区域开头部分有个显眼的标识码——bin01就是一个二进制文件我们将一个虚拟
2025第三届“陇剑网络安全大赛-夺旗闯关赛
Aluxian_的博客
09-10 2116
摘要 2025年第三届"陇剑"网络安全大赛夺旗闯关赛题目《平凉关卡》考察RSA加密算法的破解。题目提供了RSA.iso文件,要求通过以下步骤解密得到flag: 利用Weil pairing从点对gift恢复RSA素因子P 用pp分解RSA模数n,得到p和q 计算RSA私钥d 解密c得到flag 解题思路涉及构造F{p²}域与椭圆曲线E0,使用Weil配对计算r-子群,通过对每个gift点对还原E'曲线,做离散对数求deg φ模r,最终分解n并完成RSA解密。提供的Python脚本实现了
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值