Français [SigSegV2 Finals] [Forensics 500 – Je rim et je ram] Write Up

je rim et je ram

Description

Author: jenaye
Difficulté estimée : facile

Description:
J‘ai l‘impression que le propriétaire de l‘ordi fait encore des trucs bizarres. Ps: Si vous avez trouvé un flag trivial c‘est un fake flag !

Fichier : yolo3.raw

Résolution

Affichage du profil

root@kali:/tmp/yolo2# volatility -f yolo2.raw imageinfo  
Volatility Foundation Volatility Framework 2.6  
INFO    : volatility.debug    : Determining profile based on KDBG search...  
 Suggested Profile(s) : Win2008SP2x64, VistaSP2x64, VistaSP1x64, Win2008SP1x64 AS Layer1 : WindowsAMD64PagedMemory (Kernel AS) AS Layer2 : VirtualBoxCoreDumpElf64 (Unnamed AS) AS Layer3 : FileAddressSpace (/tmp/yolo2/yolo2.raw) PAE type : No PAE DTB : 0x124000L KDBG : 0xf80001988f20L Number of Processors : 1 Image Type (Service Pack) : 2 KPCR for CPU 0 : 0xfffff8000198a500L KUSER_SHARED_DATA : 0xfffff78000000000L Image date and time : 2019-11-14 23:06:11 UTC+0000 Image local date and time : 2019-11-15 00:06:11 +0100

On constate que 4 profils sont éligibles :

  • Win2008SP2x64,
  • VistaSP2x64,
  • VistaSP1x64,
  • Win2008SP1x64

Essayons le premier : Win2008SP2x64

Recherche des utilisateurs ayant lancé des process sur la machine

Pour voir les utilisateurs ayant lancés des processus, nous utilisons la commande envars en filtrant sur le champ variable.

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 envars | grep USERNAME  
Volatility Foundation Volatility Framework 2.6  
 404 csrss.exe            0x00000000004a1310 USERNAME                       SYSTEM 
 444 wininit.exe          0x00000000002383b0 USERNAME                       SYSTEM 
 452 csrss.exe            0x0000000000311310 USERNAME                       SYSTEM 
 480 winlogon.exe         0x00000000001de9e0 USERNAME                       SYSTEM 
 528 services.exe         0x0000000000181310 USERNAME                       SYSTEM 
 540 lsass.exe            0x0000000000341310 USERNAME                       SYSTEM 
 548 lsm.exe              0x0000000000341310 USERNAME                       SYSTEM 
 704 svchost.exe          0x0000000000191310 USERNAME                       WIN-FVYC9WQ4GXO$ 
 768 svchost.exe          0x0000000000091310 USERNAME                       WIN-FVYC9WQ4GXO$ 
 800 svchost.exe          0x00000000003b1310 USERNAME                       WIN-FVYC9WQ4GXO$ 
 844 svchost.exe          0x000000000249d8c0 USERNAME                       WIN-FVYC9WQ4GXO$ 
 916 svchost.exe          0x0000000000401310 USERNAME                       SERVICE LOCAL 
 984 SLsvc.exe            0x0000000000411310 USERNAME                       WIN-FVYC9WQ4GXO$ 
 364 svchost.exe          0x00000000002c1140 USERNAME                       WIN-FVYC9WQ4GXO$ 
 992 svchost.exe          0x0000000000391310 USERNAME                       SERVICE LOCAL 
 796 svchost.exe          0x00000000002e1310 USERNAME                       WIN-FVYC9WQ4GXO$ 
1124 spoolsv.exe          0x00000000000b1310 USERNAME                       WIN-FVYC9WQ4GXO$ 
1148 svchost.exe          0x00000000001c1310 USERNAME                       SERVICE LOCAL 
1412 svchost.exe          0x00000000002f1310 USERNAME                       WIN-FVYC9WQ4GXO$ 
1460 svchost.exe          0x0000000000351310 USERNAME                       WIN-FVYC9WQ4GXO$ 
1496 SearchIndexer.e      0x00000000003be8c0 USERNAME                       WIN-FVYC9WQ4GXO$ 
1892 taskeng.exe          0x0000000000321310 USERNAME                       WIN-FVYC9WQ4GXO$ 
2640 taskeng.exe          0x0000000000331310 USERNAME                       sigsegv 
2696 dwm.exe              0x0000000000451310 USERNAME                       sigsegv 
2748 explorer.exe         0x000000000249fe00 USERNAME                       sigsegv 
 932 MSASCui.exe          0x000000000039b650 USERNAME                       sigsegv 
 2116 ieuser.exe           0x00000000002c1310 USERNAME                       sigsegv 
 2284 iexplore.exe         0x00000000004d1310 USERNAME                       sigsegv 
 156 notepad.exe          0x0000000000271310 USERNAME                       sigsegv 
 2912 conime.exe           0x0000000000051310 USERNAME                       sigsegv 
 1352 svchost.exe          0x00000000002d1310 USERNAME                       SERVICE LOCAL

Il existe donc un utilisateur sigsegv.

Recherche des fichiers de l’utilisateur sigseg

Pour effectuer cette recherche nous allons rechercher les fichiers avec la commande filescan en ne nous interessant qu’aux lignes contenant « \Device\HarddiskVolume1\Users\sigsegv » en excluant « AppData »

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 filescan | grep '\\Device\\HarddiskVolume1\\Users\\sigsegv\\' | grep -v AppData  
Volatility Foundation Volatility Framework 2.6  
0x0000000001cca050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live.url  
0x0000000003fdce60     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web Microsoft\Windows Marketplace.url  
0x0000000005fc73b0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web Microsoft\Internet Explorer 7 - Présentation rapide.url  
0x00000000062aa050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN.url  
0x000000000633fc20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\desktop.ini  
0x0000000006c7b550     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Pictures.lnk  
0x00000000078a8580     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Downloads\desktop.ini  
0x000000000f6e78a0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Shared By Me.search-ms  
0x00000000100417e0      1      1 RW---- \Device\HarddiskVolume1\Users\sigsegv\ntuser.dat.LOG2  
0x0000000010834f20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Links\desktop.ini  
0x0000000011876810     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Videos\Sample Videos.lnk  
0x0000000011d6d050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live Spaces.url  
0x0000000012d2bba0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Indexed Locations.search-ms  
0x00000000143acdd0      2      1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Desktop  
0x0000000015a99f20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Recently Changed.lnk  
0x0000000015b00d30      1      1 R--rw- \Device\HarddiskVolume1\Users\sigsegv\Desktop  
0x00000000164707f0      2      1 RW-rw- \Device\clfs\Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TM  
0x000000001677d7b0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Pictures\Sample Pictures.lnk  
0x0000000016eceb10     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Music\desktop.ini  
0x00000000196aaf20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Public.lnk  
0x0000000019a57760     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent Pictures and Videos.search-ms  
0x000000001b1085d0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Sports.url  
0x000000001be54050      2      1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links  
0x000000001bf0ff20     15      0 RW-rw- \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt  
0x000000001cfc3050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Links\Personnaliser les liens.url  
0x000000001f331de0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Searches.lnk  
0x00000000206223c0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Contacts\sigsegv.contact  
0x00000000229e0990     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\desktop.ini  
0x0000000023141d20      1      1 RW---- \Device\HarddiskVolume1\Users\sigsegv\ntuser.dat.LOG1  
0x00000000241137b0      2      1 RW-r-- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TM.blf  
0x0000000024768050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Divertissements.url  
0x0000000024f17f20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Music\Sample Music.lnk  
0x0000000025791760     18      1 RW-rwd \Device\clfs\Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TM  
0x000000003d6ee670     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Liens publics\Service public.url  
0x000000003d717f20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent Documents.search-ms  
0x000000003d720330     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Actualités.url  
0x000000003d768480     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent Music.search-ms  
0x000000003d7b1050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\desktop.ini  
0x000000003d7c9990      1      1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites  
0x000000003d8e86b0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent E-mail.search-ms  
0x000000003d90b6d0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Liens publics\Cyber-citoyenneté.url  
0x000000003d90d4e0      2      1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links  
0x000000003d93ba80     16      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt.txt  
0x000000003dac0df0      2      1 RW-r-- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TMContainer00000000000000000002.regtrans-ms  
0x000000003dad1460     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Pictures\desktop.ini  
0x000000003db01920      2      1 RW-r-- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TMContainer00000000000000000001.regtrans-ms  
0x000000003db494c0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live Gallery.url  
0x000000003dbbef20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Documents\desktop.ini  
0x000000003dbd8a20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live Mail.url  
0x000000003dbd8df0      1      1 RW---- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT  
0x000000003e230c30     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Saved Games\desktop.ini  
0x000000003e29f1c0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Contacts\desktop.ini  
0x000000003e2e8e70     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Desktop\desktop.ini  
0x000000003e31d3e0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Music.lnk  
0x000000003e36f870     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recently Changed.search-ms  
0x000000003e370f20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web Microsoft\Site Internet Explorer sur microsoft.com.url  
0x000000003e382380     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Videos\desktop.ini  
0x000000003ee0df20     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Automobile.url  
0x000000003f802c10     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Everywhere.search-ms  
0x000000003f821050     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Documents.lnk  
0x000000003f82c9c0      2      1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Desktop  
0x000000003f86dbd0     15      0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Finances.url

2 fichiers semblent interessant :

  • Documents\user.txt
  • Documents\user.txt.txt

Essayons de les extraire, pour cela nous utilisons la commande dumpfile de volatility

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 dumpfiles -Q 0x000000001bf0ff20 --dump-dir=dump  
Volatility Foundation Volatility Framework 2.6  
DataSectionObject 0x1bf0ff20   None   \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt  
root@kali:/tmp/yolo2# ls dump/  
file.None.0xfffffa8005f4da30.dat  
root@kali:/tmp/yolo2# cat dump/file.None.0xfffffa8005f4da30.dat 
sigsevg{MySuperFlag}

Cool nous venons de trouver le flag….. trivial. Il ne reste plus qu’à trouver le bon.

Essayons le second

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 dumpfiles -Q 0x000000003d93ba80 --dump-dir=dump  
Volatility Foundation Volatility Framework 2.6  
DataSectionObject 0x3d93ba80   None   \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt.txt  
root@kali:/tmp/yolo2# ls dump/  
file.None.0xfffffa8005f4da30.dat

Pas de nouveau fichier, la réponse est ailleurs.

Recherche de l’historique internet

Pour cela, nous allons utiliser le plugin iehistory.

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 iehistory  
Volatility Foundation Volatility Framework 2.6  

...  

**************************************************  
Process: 2116 ieuser.exe  
Cache type "URL " at 0x287400  
Record length: 0x180  
Location: Visited: sigsegv@https://cryptobin.co/71q7y462  
Last modified: 2019-11-14 23:03:46 UTC+0000  
Last accessed: 2019-11-14 23:03:46 UTC+0000  
File Offset: 0x180, Data Offset: 0x0, Data Length: 0x98  
**************************************************  

...  

**************************************************  
Process: 2284 iexplore.exe  
Cache type "URL " at 0x1f8100  
Record length: 0x300  
Location: Visited: sigsegv@https://www.google.fr/search?hl=fr&source=hp&biw=&bih=&q=https%3A%2F%2Fprivatebin.net%2F%3F9d8a660cfd4f182f%23HK8pYJaHwjMWJaWRx3zvr81uHE5drHTHw61NqHeXXsib&btnG=Recherche+Google&iflsig=AAP1E1EAAAAAXc6smtsHa_VLLEJu4aNDlsItMaA0O13F&gbv=2  
Last modified: 2019-11-14 23:01:46 UTC+0000  
Last accessed: 2019-11-14 23:01:46 UTC+0000  
File Offset: 0x300, Data Offset: 0x0, Data Length: 0x164  
**************************************************

2 entrées semblent interessante :

Dans les deux cas, on nous demande un mot de passe pour déchiffrer les données.


Il nous faut donc trouver ce ou ces mots de passe.

Ce n’est malheureusement ni « sigsevg{MySuperFlag} » ni « MySuperFlag ».

Nous avons déjà chercher dans les fichiers présents sur le système sans grand succès. Nous avons vu par ailleurs que certain process sont executés sur la machine par l’utilisateur sigseg :

  • taskeng.exe
  • dwm.exe (2896)
  • explorer.exe (2748)
  • MSASCui.exe (932)
  • ieuser.exe (2116)
  • iexplore.exe (2284)
  • notepad.exe (156)
  • conime.exe (2912)

Notepad

Le bloc note est executé sur la machine, l’utilisateur à peut être copié des informations dans la fenêtre.
Pour extraire les informations, essayons le plugin notepad de volatility.

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 notepad  
Volatility Foundation Volatility Framework 2.6  
ERROR   : volatility.debug    : This command does not support the profile Win2008SP2x64

Raté, le profil ne supporte pas la commande notepad. Nous allons donc extraire les données à la main.
Pour cela nous allons extraire la mémoire du process notepad, PID 156

root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 memdump -p 156 -D ./dump  
Volatility Foundation Volatility Framework 2.6  
************************************************************************  
Writing notepad.exe [   156] to 156.dmp  
root@kali:/tmp/yolo2# ls dump  
156.dmp  file.None.0xfffffa8005f4da30.dat

D’après le site andreafortuna, notepad encode les textes en 16 bits little Indian, il nous faut donc ajouter l’argument « -e l » pour la commande strings.

root@kali:/tmp/yolo2# strings -e l dump/156.dmp | grep password  
password : RTFM_YELAA

Cool un mot de passe 🙂

En essayant sur cryptobin ou privatebin on obtient le flag « sigsegv2{Pow3r_oF_Vol} »

Note

L’argument -e permet de modifier l’encodage pour la lecture du fichier passé en paramètre :

  • s = single-7-bit-byte characters (ASCII, ISO 8859, etc.,
  • S = single-8-bit-byte characters,
  • b = 16-bit bigendian,
  • l = 16-bit littleendian,
  • B = 32-bit bigendian,
  • L = 32-bit littleendian.

Note 2 Pour gagner du temps, on peut tester la commande strings sur le dump directement.

root@kali:/tmp/yolo2# strings -e l yolo2.raw | grep RTFM_YELAA  
RTFM_YELAA  
password : RTFM_YELAA

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *