[SigSegV2 Finals] [Forensics 500 – Je rim et je ram] Write Upje rim et je ram
Description
Author: jenaye
Difficulté estimée : facileDescription:
J‘ai l‘impression que le propriétaire de l‘ordi fait encore des trucs bizarres. Ps: Si vous avez trouvé un flag trivial c‘est un fake flag !Fichier : yolo3.raw
Résolution
Affichage du profil
root@kali:/tmp/yolo2# volatility -f yolo2.raw imageinfo
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win2008SP2x64, VistaSP2x64, VistaSP1x64, Win2008SP1x64 AS Layer1 : WindowsAMD64PagedMemory (Kernel AS) AS Layer2 : VirtualBoxCoreDumpElf64 (Unnamed AS) AS Layer3 : FileAddressSpace (/tmp/yolo2/yolo2.raw) PAE type : No PAE DTB : 0x124000L KDBG : 0xf80001988f20L Number of Processors : 1 Image Type (Service Pack) : 2 KPCR for CPU 0 : 0xfffff8000198a500L KUSER_SHARED_DATA : 0xfffff78000000000L Image date and time : 2019-11-14 23:06:11 UTC+0000 Image local date and time : 2019-11-15 00:06:11 +0100
On constate que 4 profils sont éligibles :
- Win2008SP2x64,
- VistaSP2x64,
- VistaSP1x64,
- Win2008SP1x64
Essayons le premier : Win2008SP2x64
Recherche des utilisateurs ayant lancé des process sur la machine
Pour voir les utilisateurs ayant lancés des processus, nous utilisons la commande envars en filtrant sur le champ variable.
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 envars | grep USERNAME
Volatility Foundation Volatility Framework 2.6
404 csrss.exe 0x00000000004a1310 USERNAME SYSTEM
444 wininit.exe 0x00000000002383b0 USERNAME SYSTEM
452 csrss.exe 0x0000000000311310 USERNAME SYSTEM
480 winlogon.exe 0x00000000001de9e0 USERNAME SYSTEM
528 services.exe 0x0000000000181310 USERNAME SYSTEM
540 lsass.exe 0x0000000000341310 USERNAME SYSTEM
548 lsm.exe 0x0000000000341310 USERNAME SYSTEM
704 svchost.exe 0x0000000000191310 USERNAME WIN-FVYC9WQ4GXO$
768 svchost.exe 0x0000000000091310 USERNAME WIN-FVYC9WQ4GXO$
800 svchost.exe 0x00000000003b1310 USERNAME WIN-FVYC9WQ4GXO$
844 svchost.exe 0x000000000249d8c0 USERNAME WIN-FVYC9WQ4GXO$
916 svchost.exe 0x0000000000401310 USERNAME SERVICE LOCAL
984 SLsvc.exe 0x0000000000411310 USERNAME WIN-FVYC9WQ4GXO$
364 svchost.exe 0x00000000002c1140 USERNAME WIN-FVYC9WQ4GXO$
992 svchost.exe 0x0000000000391310 USERNAME SERVICE LOCAL
796 svchost.exe 0x00000000002e1310 USERNAME WIN-FVYC9WQ4GXO$
1124 spoolsv.exe 0x00000000000b1310 USERNAME WIN-FVYC9WQ4GXO$
1148 svchost.exe 0x00000000001c1310 USERNAME SERVICE LOCAL
1412 svchost.exe 0x00000000002f1310 USERNAME WIN-FVYC9WQ4GXO$
1460 svchost.exe 0x0000000000351310 USERNAME WIN-FVYC9WQ4GXO$
1496 SearchIndexer.e 0x00000000003be8c0 USERNAME WIN-FVYC9WQ4GXO$
1892 taskeng.exe 0x0000000000321310 USERNAME WIN-FVYC9WQ4GXO$
2640 taskeng.exe 0x0000000000331310 USERNAME sigsegv
2696 dwm.exe 0x0000000000451310 USERNAME sigsegv
2748 explorer.exe 0x000000000249fe00 USERNAME sigsegv
932 MSASCui.exe 0x000000000039b650 USERNAME sigsegv
2116 ieuser.exe 0x00000000002c1310 USERNAME sigsegv
2284 iexplore.exe 0x00000000004d1310 USERNAME sigsegv
156 notepad.exe 0x0000000000271310 USERNAME sigsegv
2912 conime.exe 0x0000000000051310 USERNAME sigsegv
1352 svchost.exe 0x00000000002d1310 USERNAME SERVICE LOCAL
Il existe donc un utilisateur sigsegv.
Recherche des fichiers de l’utilisateur sigseg
Pour effectuer cette recherche nous allons rechercher les fichiers avec la commande filescan en ne nous interessant qu’aux lignes contenant « \Device\HarddiskVolume1\Users\sigsegv » en excluant « AppData »
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 filescan | grep '\\Device\\HarddiskVolume1\\Users\\sigsegv\\' | grep -v AppData
Volatility Foundation Volatility Framework 2.6
0x0000000001cca050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live.url
0x0000000003fdce60 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web Microsoft\Windows Marketplace.url
0x0000000005fc73b0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web Microsoft\Internet Explorer 7 - Présentation rapide.url
0x00000000062aa050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN.url
0x000000000633fc20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\desktop.ini
0x0000000006c7b550 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Pictures.lnk
0x00000000078a8580 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Downloads\desktop.ini
0x000000000f6e78a0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Shared By Me.search-ms
0x00000000100417e0 1 1 RW---- \Device\HarddiskVolume1\Users\sigsegv\ntuser.dat.LOG2
0x0000000010834f20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Links\desktop.ini
0x0000000011876810 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Videos\Sample Videos.lnk
0x0000000011d6d050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live Spaces.url
0x0000000012d2bba0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Indexed Locations.search-ms
0x00000000143acdd0 2 1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Desktop
0x0000000015a99f20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Recently Changed.lnk
0x0000000015b00d30 1 1 R--rw- \Device\HarddiskVolume1\Users\sigsegv\Desktop
0x00000000164707f0 2 1 RW-rw- \Device\clfs\Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TM
0x000000001677d7b0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Pictures\Sample Pictures.lnk
0x0000000016eceb10 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Music\desktop.ini
0x00000000196aaf20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Public.lnk
0x0000000019a57760 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent Pictures and Videos.search-ms
0x000000001b1085d0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Sports.url
0x000000001be54050 2 1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links
0x000000001bf0ff20 15 0 RW-rw- \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt
0x000000001cfc3050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Links\Personnaliser les liens.url
0x000000001f331de0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Searches.lnk
0x00000000206223c0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Contacts\sigsegv.contact
0x00000000229e0990 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\desktop.ini
0x0000000023141d20 1 1 RW---- \Device\HarddiskVolume1\Users\sigsegv\ntuser.dat.LOG1
0x00000000241137b0 2 1 RW-r-- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TM.blf
0x0000000024768050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Divertissements.url
0x0000000024f17f20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Music\Sample Music.lnk
0x0000000025791760 18 1 RW-rwd \Device\clfs\Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TM
0x000000003d6ee670 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Liens publics\Service public.url
0x000000003d717f20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent Documents.search-ms
0x000000003d720330 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Actualités.url
0x000000003d768480 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent Music.search-ms
0x000000003d7b1050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\desktop.ini
0x000000003d7c9990 1 1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites
0x000000003d8e86b0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recent E-mail.search-ms
0x000000003d90b6d0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Liens publics\Cyber-citoyenneté.url
0x000000003d90d4e0 2 1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links
0x000000003d93ba80 16 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt.txt
0x000000003dac0df0 2 1 RW-r-- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TMContainer00000000000000000002.regtrans-ms
0x000000003dad1460 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Pictures\desktop.ini
0x000000003db01920 2 1 RW-r-- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT{1484be71-6a85-11db-b53d-88eb28f23ee5}.TMContainer00000000000000000001.regtrans-ms
0x000000003db494c0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live Gallery.url
0x000000003dbbef20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Documents\desktop.ini
0x000000003dbd8a20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Windows Live\Windows Live Mail.url
0x000000003dbd8df0 1 1 RW---- \Device\HarddiskVolume1\Users\sigsegv\NTUSER.DAT
0x000000003e230c30 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Saved Games\desktop.ini
0x000000003e29f1c0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Contacts\desktop.ini
0x000000003e2e8e70 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Desktop\desktop.ini
0x000000003e31d3e0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Music.lnk
0x000000003e36f870 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Recently Changed.search-ms
0x000000003e370f20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web Microsoft\Site Internet Explorer sur microsoft.com.url
0x000000003e382380 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Videos\desktop.ini
0x000000003ee0df20 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Automobile.url
0x000000003f802c10 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Searches\Everywhere.search-ms
0x000000003f821050 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Links\Documents.lnk
0x000000003f82c9c0 2 1 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Desktop
0x000000003f86dbd0 15 0 R--rwd \Device\HarddiskVolume1\Users\sigsegv\Favorites\Sites Web MSN\MSN Finances.url
2 fichiers semblent interessant :
- Documents\user.txt
- Documents\user.txt.txt
Essayons de les extraire, pour cela nous utilisons la commande dumpfile de volatility
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 dumpfiles -Q 0x000000001bf0ff20 --dump-dir=dump
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x1bf0ff20 None \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt
root@kali:/tmp/yolo2# ls dump/
file.None.0xfffffa8005f4da30.dat
root@kali:/tmp/yolo2# cat dump/file.None.0xfffffa8005f4da30.dat
sigsevg{MySuperFlag}
Cool nous venons de trouver le flag….. trivial. Il ne reste plus qu’à trouver le bon.
Essayons le second
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 dumpfiles -Q 0x000000003d93ba80 --dump-dir=dump
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x3d93ba80 None \Device\HarddiskVolume1\Users\sigsegv\Documents\user.txt.txt
root@kali:/tmp/yolo2# ls dump/
file.None.0xfffffa8005f4da30.dat
Pas de nouveau fichier, la réponse est ailleurs.
Recherche de l’historique internet
Pour cela, nous allons utiliser le plugin iehistory.
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 iehistory
Volatility Foundation Volatility Framework 2.6
...
**************************************************
Process: 2116 ieuser.exe
Cache type "URL " at 0x287400
Record length: 0x180
Location: Visited: sigsegv@https://cryptobin.co/71q7y462
Last modified: 2019-11-14 23:03:46 UTC+0000
Last accessed: 2019-11-14 23:03:46 UTC+0000
File Offset: 0x180, Data Offset: 0x0, Data Length: 0x98
**************************************************
...
**************************************************
Process: 2284 iexplore.exe
Cache type "URL " at 0x1f8100
Record length: 0x300
Location: Visited: sigsegv@https://www.google.fr/search?hl=fr&source=hp&biw=&bih=&q=https%3A%2F%2Fprivatebin.net%2F%3F9d8a660cfd4f182f%23HK8pYJaHwjMWJaWRx3zvr81uHE5drHTHw61NqHeXXsib&btnG=Recherche+Google&iflsig=AAP1E1EAAAAAXc6smtsHa_VLLEJu4aNDlsItMaA0O13F&gbv=2
Last modified: 2019-11-14 23:01:46 UTC+0000
Last accessed: 2019-11-14 23:01:46 UTC+0000
File Offset: 0x300, Data Offset: 0x0, Data Length: 0x164
**************************************************
2 entrées semblent interessante :
- cryptobin (https://cryptobin.co/71q7y462)
- privatebin (https://privatebin.net/?9d8a660cfd4f182f#HK8pYJaHwjMWJaWRx3zvr81uHE5drHTHw61NqHeXXsib).
Dans les deux cas, on nous demande un mot de passe pour déchiffrer les données.
Il nous faut donc trouver ce ou ces mots de passe.
Ce n’est malheureusement ni « sigsevg{MySuperFlag} » ni « MySuperFlag ».
Nous avons déjà chercher dans les fichiers présents sur le système sans grand succès. Nous avons vu par ailleurs que certain process sont executés sur la machine par l’utilisateur sigseg :
- taskeng.exe
- dwm.exe (2896)
- explorer.exe (2748)
- MSASCui.exe (932)
- ieuser.exe (2116)
- iexplore.exe (2284)
- notepad.exe (156)
- conime.exe (2912)
Notepad
Le bloc note est executé sur la machine, l’utilisateur à peut être copié des informations dans la fenêtre.
Pour extraire les informations, essayons le plugin notepad de volatility.
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 notepad
Volatility Foundation Volatility Framework 2.6
ERROR : volatility.debug : This command does not support the profile Win2008SP2x64
Raté, le profil ne supporte pas la commande notepad. Nous allons donc extraire les données à la main.
Pour cela nous allons extraire la mémoire du process notepad, PID 156
root@kali:/tmp/yolo2# volatility -f yolo2.raw --profil Win2008SP2x64 memdump -p 156 -D ./dump
Volatility Foundation Volatility Framework 2.6
************************************************************************
Writing notepad.exe [ 156] to 156.dmp
root@kali:/tmp/yolo2# ls dump
156.dmp file.None.0xfffffa8005f4da30.dat
D’après le site andreafortuna, notepad encode les textes en 16 bits little Indian, il nous faut donc ajouter l’argument « -e l » pour la commande strings.
root@kali:/tmp/yolo2# strings -e l dump/156.dmp | grep password
password : RTFM_YELAA
Cool un mot de passe 🙂
En essayant sur cryptobin ou privatebin on obtient le flag « sigsegv2{Pow3r_oF_Vol} »
Note
L’argument -e permet de modifier l’encodage pour la lecture du fichier passé en paramètre :
- s = single-7-bit-byte characters (ASCII, ISO 8859, etc.,
- S = single-8-bit-byte characters,
- b = 16-bit bigendian,
- l = 16-bit littleendian,
- B = 32-bit bigendian,
- L = 32-bit littleendian.
Note 2 Pour gagner du temps, on peut tester la commande strings sur le dump directement.
root@kali:/tmp/yolo2# strings -e l yolo2.raw | grep RTFM_YELAA
RTFM_YELAA
password : RTFM_YELAA