第一周
内存取证
- kali底下安装volatility
apt-get install volatility
apt-get install volatility-tools
- 查看内存镜像的基本信息
volatility -f mem.vmem imageinfo
- 遍历底下文件
volatility -f mem.vmem --profile=WinXPSP2x86 filescan
- 提取内存镜像中文件到指定目录
volatility -f mem.vmem --profile=WinXPSP2x86 dumpfiles -D . -Q 0x0000000001ebc140
- 列出内存镜像进程
volatility -f mem.vmem --profile=WinXPSP2x86 pslist
- 查看内存镜像中firefox.exe的cookies
volatility -f mem.vmem --profile=WinXPSP2x86 firefoxcookies
- 查看内存镜像中cmd的命令使用情况
volatility -f mem.vmem –profile=WinXPSP2x86 cmdscan
- 查看内存镜像中当时的网络连接情况
volatility -f mem.vmem –profile=WinXPSP2x86 netscan
看到这个进程:TrueCrypy.exe,说明有加密
UID是用户ID,PID是进程ID,PPID是父进程ID
-p后面跟ppid,所生成的文件为1464.dmp
Elcomsoft Forensic Disk Decryptor(硬盘取证解密器EFDD):获取key和破解文件 。
具体用法看TrueCrypt加密
第二周
php绕过
<?php
ini_set("display_error",false);
error_reporting(0);
$str=isset($_GET['A_A'])?$_GET['A_A']:'A_A';
echo $_GET['A_A'];
echo "\n";
if(strpos($_SERVER['QUERY_STRING'],"A_A")!==false){
echo 'A_A,have fun';
}
elseif($str<9999999999){
echo 'A_A,too small';
}
elseif((string)$str>0){
echo 'A_A,too big';
}
else{
echo file_get_contents('flag.php');
}
?>
知识点
- $_GET中会将变量的点变成下划线
- $_SERVER[‘QUERY_STRING’]为url中?以后的字符串内容
- 字母开头的字符串数值==0
- 利用上传数组可以使数值很大
- 上传数组只需在参数后面加[]
则绕过在url后加?A.A[]
第二周官方wp
特别是第一题web题,难过啊,错过去学习的机会了…