1. What the password? 100 question you got a sample of rick's PC's memory. can you get his user pass
虚拟机的密码是_____。(密码中为flag{xxxx},含有空格,提交时不要去掉)
最近,斗哥在刷CTF题目。突然刷到了内存取证类,了解到了一款牛逼的工具——Volatility,在kali linux也默认安装好了这个工具,正好可以好好学习一波。 01 Volatility 简介
最近因为省赛快来了,因此为实验室的小伙伴准备了这次比赛,总共10道题目,考虑到大多数小伙伴都刚从大一升到大二,因此整体难度不高,当然有几道难度还是有的。
The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
主要考察抓包分析、web安全、无线安全、内存取证分析、加密解密。难度最大的是无线安全、内存取证分析、加密解密。
下载附件得到一个vmem文件和一个kdbx文件,百度可知这个kdbx文件是由KeePass这个软件加密得到的
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
var xhr = new XMLHttpRequest(); xhr.open('get', 'https://v1.hitokoto.cn/'); xhr.onreadystatechange = function () { if (xhr.readyState === 4) { var data = JSON.parse(xhr.responseText); var hitokoto = document.getElementById('hitokoto'); hitokoto.innerText = data.hitokoto; } } xhr.send();
wifi题,是一个师傅快结束的时候丢给我的。那货啥也不说,丢了一串密文过来,后面才知道是哥斯拉,他解题的方法比较强(邪门),我就老老实实根据哥斯拉的加密逆过去了。
在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。
5 - Name Game 2 150 question From a little research we found that the username of the logged on char
现在CTF方向中的内存取证相关的题目越来越多了,之前也一直没有做过整理(发出了咕咕咕的声音),这几天因为某些原因,得把重点放在取证部分,所以干脆直接在这里做个内存取证方面的知识整理。
1)在启用了基于资源队列的资源管理系统时,gp_vmem_protect_limit参数表示每个segment分配到的内存大小。预估值计算方式:所有GP数据库进程可用内存大小/发生故障时最大的primary segment个数。如果gp_vmem_protect_limit设置过高,则查询可能会失败。
https://gpdb.docs.pivotal.io/6-14/ref_guide/config_params/guc-list.html#gp_vmem_protect_limit
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。
#!/usr/bin/perl #!/bin/bash ## 最近查看队列使用情况 发现如下问题,用户使用SGE 集群的时候内存溢出 ## 此程序用于查看SGE (Sun Grid Engine) 整体集群监控 ##仅以此程序,帮助大家查看 自己任务状态,以免被杀!此工具归BGI所有,祝大家工作愉快! =head1 Name sge_cluster_queue.pl -- choose the queue observation =head1 Description This program can choose the bmk queue observation 1) look for the queue jobs operation and who is working state 2) find the jobs number total test number,and the user over mem jobs,Jobs-ID,detailed mem \ 3) statistics total use mem =head1 Version Author: Li linji, lilinji@genomics.cn Version: 1.0, Date: 2012-7-30 =head1 Usage --queue set you want look up queue (defined general.q) --mem set Use full details queue Jobs and mem (check over_mem,and jods-ID) --s set Task sort by (name,job,vf,mem && must set --mem)##defined name --t set Task state information (defined run) --help output help information to screen =head1 Exmple ./sge_cluster_queue.pl perl sge_cluster_queue.pl perl sge_cluster_queue.pl -queue general.q perl sge_cluster_queue.pl -queue general.q -mem perl sge_cluster_queue.pl -queue general.q -mem -s vf =cut use Getopt::Long; use FindBin qw($Bin $Script); use File::Basename qw(basename dirname); use Data::Dumper; my $Sort||="name"; my $St||="r"; my ($help,$mem); $queue_search ||= "general.q"; GetOptions( "help"=>\$help, "queue=s"=>\$queue_search, "mem"=>\$mem, "s=s"=>\$Sort, "t=s"=>\$St, ); die `pod2text $0` if ($Help); if ($Sort eq "1") { $Sort="name"; }elsif($Sort eq "2"){ $Sort="job"; }elsif($Sort eq "3"){ $Sort="vf"; }elsif($Sort eq "4"){ $Sort="mem"; } if ($Sort ne "vf" && $Sort ne "mem" && $Sort ne "name" && $Sort ne "job" ) { print STDERR <<SORt; -s : 1 or name : sort by name (default) 2 or job : sort by jobs number 3 or vf : sort by vf (need -m ) 4 or mem : sort by mem (need -m ) SORt exit 0; if (!defined $mem && ($Sort eq "mem" || $Sort eq "vf" )) { print STDERR <<SORt; -mem : get mem info -s
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
Greenplum数据库会从存储在PostgreSQL内部的一个时区集合种选择一个时区使用。PostgreSQL中存储的可用时区 全部取自于Internet Assigned Numbers Authority (IANA) 时区数据库,一旦PostgreSQL的IANA数据库发生 改变,Greenplum数据库也会随之更新它的可用时区列表。
下载附件查看流量包,发现没啥信息,于是导出对象->http对象->index-demo.html,打开查看源码发现一堆base64:
在很多情况下,当我们拿到VCenter或ESXI 服务器权限和Web后台权限登录后,发现很多重要的系统锁屏了,想要进入还需要输入密 码。因此,这时我们就需要抓取处于锁屏状态机器的Hash了。以下介绍使用内存快照抓取Hash。
前文,我们分析了gp_vmem_protect_limit参数的意义,仅统计gp_malloc中申请的,它并没有统计共享内存的部分,所以仍旧有操作系统OOM的风险,详情:GPDB中gp_vmem_protect_limit参数的意义。
此类题一般会给出raw文件、wmem文件、img文件、dmp文件等内存镜像文件,我们则需要用volatility来解决这种问题
Greenplum 常见错误及解答方式 问题描述:ERROR "failed to acquire resources on one or more segments", "could not connect to server: Connection timed out" 原因分析: (1) 查看网络连接情况 (2) 查看TCP/UDP连接情况 解答方式: sudo sysctl net.netfilter.nf_conntrack_buckets=262144 sudo sysctl net
Hadoop框架自身集成了很多第三方的JAR包库。Hadoop框架自身启动或者在运行用户的MapReduce等应用程序时,会优先查找Hadoop预置的JAR包。这样的话,当用户的应用程序使用的第三方库已经存在于Hadoop框架的预置目录,但是两者的版本不同时,Hadoop会优先为应用程序加载Hadoop自身预置的JAR包,这种情况的结果是往往会导致应用程序无法正常运行。
参考资料:https://blog.csdn.net/kygoal/article/details/75041851
预防:千万不要修改动态内存句柄!可以另外赋值给其他指针变量,再对该动态内存进行访问操作。
在 NodeManager 中有一个Monitor线程,用于一直监控NodeManager的内存使用量,假设NodeManager 设置为3G,用于后面的资源(如 Kafka、Flume)的内存为1G;
在Greenplum的4.x版本之后,加入了资源队列的概念,其主要作用就是限制用户或者单个SQL对资源的消耗。避免出现消耗过多资源,影响其他用户或者SQL计算。这里的资源限制主要是指系统内存资源。
虚拟机的文件管理由VMware Workstation来执行,一个虚拟机一般以一系列文件的形式储存在宿主机中,这些文件一般在由workstation为虚拟机所创建的那个目录中。 这里列出了这些关键文件的扩展名。在这些例子中,<vmname>表示你的虚拟机名字。
在做内存取证的时候,有时候我们会想要得到Administrator的密码,这个时候我们可能会用hashdump命令:
这篇文章来自于:董的博客,记录备查 内存管理,主要是管理nodemanager上的物理内存和虚拟内存。 YARN允许用户配置每个节点上可用的物理内存资源,注意,这里是“可用的”,因为一个节点上的内存会被若干个服务共享,比如一部分给YARN,一部分给HDFS,一部分给HBase等,YARN配置的只是自己可以使用的,配置参数如下: (1)yarn.nodemanager.resource.memory-mb 表示该节点上YARN可使用的物理内存总量,默认是8192(MB),注意,如果你的节点内存资源不够8GB,
接前一篇博客,这次做安装一个真正的分布式集群环境。 准备 这里准备三台机器bd1,bd2,bd3来组个hadoop集群,其中bd1作为namenode,bd1,bd2,bd3作为datanode 配置这三台机器之间可以免密码 SSH 登录,参考我以前的博客。 配置 修改下面几个配置文件 etc/hadoop/core-site.xml <configuration> <property> <name>fs.defaultFS</name> <value>hdfs://bd1:9000</
《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书
--------------------------------------------------------------------
当一个公司被高级恶意软件感染,一个正确的应急响应应该是去识别恶意软件和修复系统,建立更好的安全控制体系来防止未来此类 事故的发生。在这篇文章中会介绍使用“内存取证”技术来检测高级的恶意软件感染,并且学会如何使用内存取证工具比如Volatility在真实的环境中检测恶意软件。 内存技术是指从运行的电脑中取出内存镜像来进行分析的技术,其在应急响应和调查中扮演一个很重要的角色。它能够从计算机内存中提取取证线索,比如运行的进程,网络连接,加载的模块等等 ,同时他能够帮助脱壳,Rootkit检测和逆向工程。 内存
漏洞利用: https://github.com/horizon3ai/CVE-2021-21972
Greenplum基于数据库管理系统(DBMS)提供给请求者信息的速率来衡量数据库性能。
该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关
在内网渗透中常常会碰到VmwareVcenter,对实战打法以及碰到的坑点做了一些总结,部分内容参考了师傅们提供的宝贵经验,衷心感谢各位师傅
下载附件,依次strings查看每个文件,在data.unity3d这个文件最后得到flag
CTF(夺旗赛)有助提升安全技术,可为公司企业和组织机构发现安全人才。运用这些工具和框架设计并举行自己的CTF活动吧!
导读:去年7月9日,《亲爱的,热爱的》开播,你的“现男友”李现饰演的男主角韩商言带领战队在CTF国际大赛中夺冠,让青春梦想成为现实的同时,也为国争光。
早就听说《CTF特训营》一书出版后异常火爆,非常畅销,这不,刚好这两天笔者收到出版社赠书,于是迫不及待地一睹为快:
今天无意间看到Hadoop3去年年底就release了,今天就准备装个环境看看。 安装配置 首先从下面的地址下载安装包 http://hadoop.apache.org/releases.html 这里我下载的是hadoop-3.0.0.tar.gz包,解压安装。 $ tar zxvf hadoop-3.0.0.tar.gz $ cd hadoop-3.0.0/ 编辑etc/hadoop/hadoop-env.sh文件,设置JAVA_HOME环境变量, export JAVA_HOME=/opt/jdk8
CTF学习站点总结 0x00 前言 公众号的后台,有很多的朋友都在问,你们CTF是怎么入门的? 有没有什么东西能和我们分享下的? 有没有什么学习的网站啊之类的问题,想了很久,决定给大家分享一些。 没有py,ChaMd5 良心分享(重说三) http://www.chamd5.org/ 没有py,ChaMd5 良心分享(重说三) http://www.chamd5.org/ 没有py,ChaMd5 良心分享(重说三) http://www.chamd5.org/ 0x01 CTF 资讯 XCTF联赛
也是有好一段时间没有写文章了,主要是最近比较忙,很难抽出时间来写知乎了,以前长假基本都是日更
领取专属 10元无门槛券
手把手带您无忧上云