广东省第四届强网杯部分解题WP

1 SNMP 取证

1.1 背景知识

SNMP，即简单网管协议，该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。它由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模式（database schema），和一组资料对象。

SNMP 第三版提供三项重要的服务：认证、隐私和访问控制。

SNMP v3 用户配置：

# 新增用户，并配置用户名密码
net-snmp-config --create-snmpv3-user \
 -ro -a ttlsapwd \
 -x DES -X ttlsades ttlsa

SNMP v3 获取信息：

snmpwalk  -v 3 -u ttlsa -a MD5 \
 -A ttlsapwd -x DES -X ttlsades \ 
 -l authPriv  173.219.255.122 .1.3.6.1.4.1.2021.4.11.0

1.2 思路分析

题目附件：

• pcap 包

• 密码字典

pcap 包分析：

SNMP v3 协议分析：

考虑可能是密码爆破。

1.3 解题过程

工具：GitHub - applied-risk/snmpv3brute: SNMPv3 Authentication Bruteforcer

./snmpv3brute.py -w wordlist.txt -p net.pcapng

2 内存取证

2.1 背景知识

volatility 是一款内存取证分析工具。

# 查看系统信息
vol -f memory imageinfo
# 查看进程
vol -f memory --profle=Win7SP1x64 pslist
# 查看cmd命令历史
vol -f memory --profile=Win7SP1x64 cmdscan
# 查找文件
vol -f memory --profile=Win7SP1x64 filescan | grep flag
# dump文件
vol -f memory --profile=Win7SP1x64 dumpfiles \
 -Q 0x000000001e85f430 --dump-dir=./
# dump进程的内存镜像
vol -f memory --profile=Win7SP1x64 memdump -p<pid> --dump-dir=./

2.2 思路分析

题目名字叫 memory，猜测跟内存相关，给出附件是一个 .raw 文件，可以尝试使用 volatility 进行分析。

2.3 解题过程

vol -f QWB123-783C108A-20210929-085419.raw imageinfo

vol -f QWB123-783C108A-20210929-085419.raw \
 --profile=WinXPSP2x86 filescan |grep flag

vol -f QWB123-783C108A-20210929-085419.raw \
 --profile=WinXPSP2x86 dumpfiles \
 -Q 0x0000000001b2b270 --dump-dir=./

修改后缀为 .7z，尝试解压，发现需要密码。

vol -f QWB123-783C108A-20210929-085419.raw --profile=WinXPSP2x86 pslist

vol -f QWB123-783C108A-20210929-085419.raw \
 --profile=WinXPSP2x86 memdump -p1724 --dump-dir=./

使用 ghex 打开内存镜像，搜索 password，查看到 password_is_complex

宽字节搜索：

输入密码haha_password_is_complex完成解压。