2024第一届Solar杯应急响应挑战赛内存取证

提供vol和magnet两种做法基本上都能解决

内存取证1：

请找到rdp连接的跳板地址
flag格式 flag{1.1.1.1}

rdp连接既远程连接而windows远程连接默认端口为3389端口

python2 vol.py -f ../SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 netscan | grep 3389

请找到攻击者下载黑客工具的IP地址
flag格式 flag{1.1.1.1}

magnet分析可以直接看到浏览器缓存记录

vol cmdscan

同样可以看到mimikatz的下载记录

攻击者获取的“FusionManager节点操作系统帐户（业务帐户）”的密码是什么
flag格式 flag{xxxx}

cmdscan或是magnet访问记录可以看到攻击者访问了 pass.txt文件提取后可以得到一堆账号密码

magnet直接查看剪贴板

请找到攻击者创建的用户
flag格式 flag{xxxx}

挨个试就行

mimicatz同样可以看到账号密码

请找到攻击者利用跳板rdp登录的时间
flag格式 flag{2024/01/01 00:00:00}

折磨搞了半天是时区没搞对

vol 直接pslist找到rdp进程的时间后面加八小时

magnet需在右下角选择北京时区

请找到攻击者创建的用户的密码哈希值
flag格式 flag{XXXX}

使用mimicatz得到账户密码

nt hash得到hash值