在以前学习过volatility
的基础功能,主要是使用volatility
独立版进行学习的,前几天遇到一个ctf
赛事,需要用到的是volatility
的mimikatz
模块,因为以前没使用过那个模块,当时也没时间去做,后面对其复盘分析的时候,发现配置这个volatility
的插件环境还是稍微有点点的复杂的,所以在这里记录下。
在某ctf
题里面,题目描述如下:
easy取证
题目内容:据情报显示,嫌疑人的电脑中藏有秘密信息,请从内存镜像中找到它,flag格式:DASCTF{xxxxxxx}
题目难度:容易
这个赛题是一个内存取证 + word
的snow
隐写
关于snow
隐写的部分:https://www.cnblogs.com/xiaoqi-ctf/p/17911881.html
在这里我只对volatility
的插件版如何获取密码进行学习。
在这里使用独立版volatility
分析了一下,获取了进程:
./volatility -f mem.raw imageinfo
打印了当时的桌面截图:
./volatility -f mem.raw --profile=Win7SP1x64 screenshot -D ./result
从这里面看到,flag
应该是在这个图片里面的,所以我就把这个内存里面的桌面还原了:
还在里面提取到了一个机密.docx
文件,这个文档打开之后是空的,但是显示是有大小的,这个就是snow
隐写,关于这部分,大家可以自行百度下,在这就不展开了,我只做mimikatz
插件的:
后来给了直接的提示:
misc-easy取证: 利用volatility的mimikatz插件提用户密码
要求使用mimikatz
来获取密码信息,如果此时直接使用独立版的volatility
来获取hash的,但是发现获取的是空密码:
$ ./volatility -f mem.raw --profile=Win7SP1x64 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7ee3f236737b4c3a8f5de70ee15871a:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
CTF:1000:aad3b435b51404eeaad3b435b51404ee:692fd268ba22e3656137e7126b4c620e:::
这个密码都是空的。。。
当然,在这还有另外一种方法,使用lsadump
来测试:
vol.py -f mem.raw --profile=Win7SP1x64 lsadump
但是感觉这个也对不上。。。
根据网上大佬的文章:
https://cloud.tencent.com/developer/article/2160360
可以分析到这种情况下获取的hash都是空的:
那就使用插件吧。
在这里使用插件的话,咨询过橘子大佬之后,发现需要安装volatility
完整版的,而且需要配置相应的环境才能使得插件生效,那就在这记录下。
配置环境:kali linux2023
python
环境:python2
参考文档:
https://blog.csdn.net/weixin_44895005/article/details/123917324
https://bbs.huaweicloud.com/blogs/399904
安装源码:https://github.com/volatilityfoundation/volatility 针对python2
在安装之前,需要配置下本地的pip2
环境,因为在kali2023
里面,pip
和pip3
都是python3
的,并没有给python2
配置pip
,所以需要自己单独安装下,不然后面配置的环境都跑到python3
里面去了。
所以在这里单独配置pip2
:
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -o get-pip.py
然后执行安装:
python2 setup.py install
安装完之后,使用pip2
看下当前的版本信息:
然后准备安装volatility
:
去下载https://github.com/volatilityfoundation/volatility,然后直接安装:
python2 setup.py install
因为我已经安装过了,在这里就不截图了。
然后继续安装必须的模块。
crypto
模块pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple
但是在你安装的时候,可能会出现报错:(类似这样的)
Command errored out with exit status 1: python setup.py egg_info Check the logs for full command ou
在这里需要对你的pip2
进行升级:
pip2 install --upgrade setuptools
然后再次进行安装即可。
distorm3
模块在这里需要现将模块下载下来:
https://github.com/vext01/distorm3
使用命令行安装:
python2 setup.py install
在这里安装一下:
pip2 install construct
此时基础的模块就算安装好了,在任意的命令行输入命令看下:
在这里我只安装mimikatz
的插件:
https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py
在这可以用wget
这个命令把这个文件下载到本地:
wget https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py
然后需要将这个文件移动到python2
的volatility
的插件目录下:
cd /usr/lib/python2.7/dist-packages
mkdir volatility
cd volatility
mkdir plugins
然后将这个文件复制过去:
cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/
最后对于文件赋予权限:
chmod 777 *
做完之后,开始测试:
vol.py --plugin=./ -f mem.raw --profile=Win7SP1x64 mimikatz
此时就获取到了Administrator
用的密码信息:
└─# vol.py --plugin=./ -f mem.raw --profile=Win7SP1x64 mimikatz
Volatility Foundation Volatility Framework 2.6.1
Module User Domain Password
-------- ---------------- ---------------- ----------------------------------------
wdigest Administrator WIN-BGKRU85VR4H H7Qmw_X+WB6BXDXa
wdigest WIN-BGKRU85VR4H$ WORKGROUP