Memeories

Author: bolzzy

Difficulty: easy

Category: forensics

Oh noes, someone broke into the ship's computer systems and stole some very important files! Our team managed to collect pcap and memory from the host. Can you figure out what secrets was stolen?

52682851bad773076567911acc2bbfc4  capture.pcap.7z
f594ad3fe2038758d80ee634550b3593  host.vmem.7z

对host.vmem进行分析

先分析下流量包,可以看到很多smb协议,并且传输了一个upload.7z的文件

通过 SMB 协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。此外通过 SMB 协议,应用程序可以访问源远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。

文件→导出对象→SMB→save all

即可得到upload.7z

然而是加密了的,需要寻找密钥,可以看到压缩包里含有以下这几个文件,并且在very important documents目录下

对capture.pcap进行分析

可以使用volatility之类的进行分析,目前vol已更新到版本3,有条件的也可以使用取证大师,进行文件提取比较方便。

volatilityfoundation/volatility3
Volatility 3.0 development. Contribute to volatilityfoundation/volatility3 development by creating an account on GitHub.

因为这个镜像是win10,貌似vol2.6需要查询很久

看一下进程,这里使用进程树,pslist也可以,只是看不清子进程关系而已

volatility -f host.vmem --profile=Win10x64_17134 pstree

可以看到wandows (2).exe这个进程创建了一个powershell作为子进程启动

不过没有查询到这是什么软件的进程,所以继续往下。

搜索桌面文件的时候可以找到very important documents这个目录,还有文件夹下的文件,但是无法进行dumpfiles提取

如果单独查询very important documents也是可以找到里面的文件的,但是同样无法提取

我最开始的思路是提取出那两个相同的图片,然后对7z进行明文攻击,但是先不讨论7z格式是否可以明文攻击,提取出3amr2d.jpg3amqhd.jpg本身也是不现实的

使用取证大师查看就可以发现文件大小基本上0kb,唯一一个有数据的也只能部分恢复

通过取证大师还可以发现todo.txtjeff.jpgjeff.7znote.txt等,只有txt可以导出,但是应该是出题人写的日程提纲,没有太多有意义的信息

众所周知,7z格式的压缩包可以使用命令进行压缩,所以有没有可能在cmd里面有信息?

实际上并找不到,cmdscan命令无法使用,只能使用cmdline,但是看不到有关7z的进程。

比赛的时候我就是在这里卡住了,还去dump了notepad.exe的内容然后使用strings看看有没有信息。却忘了strings整个vmem文件。

strings host.vmem | grep "upload.7z"

可以看到jeff.7z被改名为upload.7z

所以我们再搜索一下jeff.7z

4C:\Users\IEUser\7za.exe a C:\IEUser\jeff.7z "C:\Users\IEUser\Desktop\very important documents" -phekktheplanet

注意这句,密码已经出来了,是hekktheplanet,-p是7z的压缩参数,7za.exe是7z的DOS进程

使用取证大师也可以搜索到,不过数据太多,需要有点耐心

解压出来的两个图片是无用的

flag在odt文档的最后一张图片中


其实如果你使用winhex等其他取证软件也是可以部分恢复上面的两个图片的,不过可能显示不完整或者清晰度有点问题。

winhex是使用磁盘工具进行文件类型恢复

官方wp

tghack/tg20hack
TG:HACK 2020. Contribute to tghack/tg20hack development by creating an account on GitHub.