Gimp安装-Vol一些用法

Posted on 2024-12-05 In Configuration Symbols count in article: 5.5k Reading time ≈ 5 mins.

主要是一些kali中工具的安装，这些工具安装适用于Kali-2024版本。

中间有一个题目复现，主要涉及画图需要用gimp的场景。

安装gimp

GIMP - GNU Image Manipulation Program
GIMP - Downloads

还得是官方，比较可靠。

安装flatpak

1	flatpak install https://flathub.org/repo/appstream/org.gimp.GIMP.flatpakref

直接先进行安装，可能需要稳定网络。
反正多试试，比docker拉取容易。
安装gimp相关的环境，一般需要比较多的时间进行安装。
一共是5/7个环境，需要花费一定时间，可能安装失败。

运行flatpak

1	flatpak run org.gimp.GIMP//stable

安装失败，直接重新安装即可。
打开原始文件的2种方式。

使用上面的命令之后，在图形化界面中打开data文件
或者直接使用flatpak run org.gimp.GIMP//stable xxx.data

更新flatpak

1	flatpak update

还失败的话就更新下flatpak。

docker启动失败

Docker 拉取镜像时配置可用镜像源（包含国内可用镜像源）_docker镜像源-CSDN博客

类似如下报错：

1	systemctl status docker.service

× docker.service - Docker Application Container Engine
     Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; preset: enabled)
     Active: failed (Result: exit-code) since Mon 2024-11-11 01:26:48 EST; 4s ago
 Invocation: a94a14824532421fa127a297e3857f2e
TriggeredBy: × docker.socket
       Docs: https://docs.docker.com
    Process: 21309 ExecStart=/usr/sbin/dockerd -H fd:// --containerd=/run/containerd/c>
   Main PID: 21309 (code=exited, status=1/FAILURE)

Nov 11 01:26:48 kali systemd[1]: docker.service: Scheduled restart job, restart counte>
Nov 11 01:26:48 kali systemd[1]: docker.service: Start request repeated too quickly.
Nov 11 01:26:48 kali systemd[1]: docker.service: Failed with result 'exit-code'.
Nov 11 01:26:48 kali systemd[1]: Failed to start docker.service - Docker Application C>

报错关键：Result: exit-code
主要由于一些配置文件错误导致报错了。

一般就直接针对配置文件进行处理：vi /etc/docker/daemon.json

{
    "registry-mirrors": [
        "https://docker.1panel.live",
        "https://hub.rat.dev"
    ]
}

修改完毕之后，直接使用systemctl daemon-reload，进行reload.

然后重启docker服务。systemctl restart docker

最后查看是否换源成功。
docker info

安装ciphey

主要存在的困难点就是镜像源被ban掉了所以导致无法下载。
要么换镜像，要么就是直接挂代理，害。

在上面的换源操作成功之后，突然可以安装ciphey了，神奇。

docker run -it --rm remnux/ciphey
没有镜像的话，会自动索引可以下载的镜像源，然后进行安装。
安装完毕之后，就可以直接进行调用了。

一般调用：

docker run -it --rm remnux/ciphey -t "xxx"
docker run -it --rm remnux/ciphey -f [filename]

安装pwntools

https://docs.pwntools.com/en/stable/install.html#python3

包含python3的pwntools的安装。
涉及到kali-pip3安装虚拟环境中提升权限的问题。
一般安装不上东西基本都是因为权限太低，或者相关依赖库版本不对应的原因。

python2安装官方方法无法进行安装，暂时无法理解如何进行处理。
先放着。

安装basecrack

下载工具：https://github.com/mufeedvh/basecrack
下载好包之后就可以直接进入到目录之后使用pip install -r requirements.txt进行安装。

可能出现问题的主要在跟虚拟环境联合的时候：

先进入到虚拟环境
再进入到basecrack的目录之下
使用pip相关命令进行安装

具体使用方法见readme.md
一般情况下会用python3 basecrack.py -f [filename] -m即可。
基本就能直接使用工具去解密base系列的题目了。

镜像文件简单分析

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

具体的思路需要梳理一下。

某公司服务器出现了数据泄露，请分析文件回答下列问题

1、经检查，攻击者利用IPC漏洞监控了服务器，攻击者的IP地址的32位小写md5值即为答案。（如，攻击者ip地址为192.168.1.1，则答案为66efff4c945d3c3b87fc271b47d456db）

答：2b714710cb93b5eb3295ff8b51819081

2、攻击者利用服务器内用户命名规则创建了后门账号，请找出该后门账号，该账号的登录密码的32位小写md5值即是答案。（例：密码为123456，则答案为e10adc3949ba59abbe56e057f20f883e）

答：5e8667a439c68f5145dd2fcbecf02209

3、攻击者从服务器中窃取了一些个人敏感数据，请分析文件，找到包含的所有身份证信息(共5个)，并按照身份证首位数字从小到大进行排序顺序（首位数字相同则比较第二位数字，以此类推），并以-进行连接，最后计算其32位小写MD5值作为答案（例：身份证1：123456789；身份证2：987654321；身份证3：111111111，则身份证顺序：111111111-123456789-987654321，答案为：1f18992fb75aaa7f34c8b6583fb3ac1e）（注：题目中身份证信息等个人信息为出题需要编写，均为虚假信息，不具备真实性及效益。）

答：140bc19db32fec044a87d6130eab854f

了解镜像文件使用系统

vol.py -f [rawfile] imageinfo

1 2	Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418

基于服务器描述，主要选择的方向就是Win2008系列的，一般情况下，优先考虑相对靠前位置的操作系统。

`netscan`

查看网络连接
查看当前系统IP

IPC漏洞控制服务器

题目中提示信息：攻击者利用IPC漏洞监控了服务器

漏洞利用条件：开放了 139、445 端口和 ipc$ 文件共享，并且我们已经获取到用户登录账号和密码。
主要这个漏洞在WinServer2008中好像比较典型

账号相关一般考虑注册表相关信息

hivelist
hivedump：查看注册表键名
- 试了一下暂且不能理解为啥需要这种命令，以及放的虚拟地址具体需要查看啥。
printkey
hashdump

`hivelist`

列出所有的注册表项及其虚拟地址和物理地址

ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit
system文件位置:C:\Windows\System32\config\SYSTEM
sam文件位置:C:\Windows\System32\config\SAM
#通过SAM数据库获得用户hash的方法

在这一块基本找具体要分析的注册表的路径位置？
找比较可行的路径？
不太理解。

`hivedump`

注册表相关信息罗列

这边能找到一堆user1等相关账号，相对来说比较可疑。
所以能够定位到\SAM\Domains\Account\Users\Names

`printkey`

vol.py -f data1.raw --profile=Win2008R2SP0x64 printkey -K "SAM\Domains\Account\Users\Names" 主要这边的路径去看具体内容，看不到F值，没法进行对比
稍微往上一级去看具体内容
vol.py -f data1.raw --profile=Win2008R2SP0x64 printkey -K "SAM\Domains\Account\Users" 上一级可以查看目录下的具体参数
逐个进行F值的对比，跟Administrator进行对比
vol.py -f data1.raw --profile=Win2008R2SP0x64 printkey -K "SAM\Domains\Account\Users\000001F4"，Administrator
vol.py -f data1.raw --profile=Win2008R2SP0x64 printkey -K "SAM\Domains\Account\Users\000003F1"，user7
两者经过对比发现F值比较类似，所以高权限的后门账号是user7
补充：printkey -K "ControlSet001\Control\ComputerName\ComputerName"获取主机名

`hashdump`

https://hello-ctf.com/HC_MISC/memory/#mimikatz
【MISC】Volatility取证分析工具 | 狼组安全团队公开知识库

vol.py -f data1.raw --profile=Win2008R2SP0x64 hashdump
直接定位user7找到哈希值，然后上在线网站进行反向查找得到
87654321

文件相关主要考虑利用可疑进程把数据dump下来

pstree/pslist
memdump
editbox
filescan
dumpfile

`pstree/pslist`

vol.py -f data1.raw --profile=Win2008R2SP0x64 pstree，存在以下可疑进程
- notepad.exe：txt
- et.exe：xlsx/xls
- mspaint.exe：原始数据.data型

`memdump`

vol.py -f data1.raw --profile=Win2008R2SP0x64 memdump -p 952 -D vol_output
得到的dmp文件修改后缀名为.data
使用gimp进行读取查看
一般查看图片思路：height先确定，offset先找到大概有字符的部分，然后调整width使得图片正常显示
得到513701199912314701

`editbox`

vol.py -f data1.raw --profile=Win2008R2SP0x64 editbox
直接能看到txt文件里面的内容。

1 2	张三 13528790688 430512198908131367 李四 18234924149 310115199110257136

`filescan`

通过grep辅助查找关键文件类型
vol.py -f data1.raw --profile=Win2008R2SP0x64 filescan | grep -E '|.txt|.xls|.xlsx'
但显示的有点奇奇怪怪的，找到关键文件之后结合dumpfile进行提取

`dumpfile`

导出某一文件(指定虚拟地址)
vol.py -f data1.raw --profile=Win2008R2SP0x64 dumpfiles -Q 0x000000007eddf750 --dump-dir=vol_output
或者--dump-dir=用-D 替代
导出来的一般是.dat的文件，可以使用foremost进行查看
不过由于格式特殊性，一般情况下，.xlsx文件容易被识别成.zip，需要简单查看内容有没有缺失，然后修改后缀名为.xlsx

查看xlsx里面的内容，可以得到：

1
2
3

|客户姓名|身份证|
|张伟|652901196611026716|
|李星怡|123456202001011236|

然后按照要求进行拼接。

后面主要涉及结合gimp去dump出来的图片。

-------------THE END-------------