[OtterCTF 2018]取证系列
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' imageinfo
What the password?
vol.py --plugin=/usr/lib/python2.7/dist-packages/volatility/plugins/ -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 mimikatz
MortyIsReallyAnOtter
NSSCTF{MortyIsReallyAnOtter}
General Info
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 hivelist
主机名会储存在\REGISTRY\MACHINE\SYSTEM
中的ControlSet001\Control\ComputerName\ComputerName
条目中
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
WIN-LO6FAF3DTFE
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 netscan
192.168.202.131
NSSCTF{WIN-LO6FAF3DTFE-192.168.202.131}
Play Time
分析一下进程
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 pslist
提示是old videogames,找到一个进程LunarMS.exe
应该是一个日本古老游戏露娜
LunarMS
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 netscan
找到这个游戏对应的ip:77.102.199.102
NSSCTF{LunarMS-77.102.199.102}
Silly Rick
提示:He always copy and paste the password so he will not get it wrong.
总是复制粘贴,所以看看他的剪贴板
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 clipboard
M@il_Pr0vid0rs
NSSCTF{M@il_Pr0vid0rs}
Name Game
之前看到过了那个游戏的进程,dump下来
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 memdump -p 708 -D '/home/kali/Desktop/Game'
使用linux内置字符串查找
strings '/home/kali/Desktop/Game/708.dmp' | grep "Lunar-3" -C 20
string使用参数:-C<显示行数> 或 --context=<显示行数>或-<显示行数> : 除了显示符合样式的那一行之外,并显示该行之前后的内容。
在其之后找到了一个可疑的字符串:0tt3r8r33z3
NSSCTF{0tt3r8r33z3}
Hide And Seek
查看进程树
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 pstree
vmware-tray.exe
是Rick And Morty
的子进程,十分可疑
同时检测和分析内存中的恶意软件特征也可以找到这个文件
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 malfind
NSSCTF{vmware-tray.exe}
Name Game 2
使用游戏进程dump下来的文件
0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2}
,只需要找5A 0C 00 00
并且前面对应的地方
扔进010搜索
M0rtyL0L
NSSCTF{M0rtyL0L}
Path To Glory
刚刚进行检测和分析内存中的恶意软件特征时也看见了这个文件
这是一个种子传输的程序,猜测古老获取病毒的方式是种子传输
找到这个恶意文件的父进程的下载路径
把这几个文件都dump下来看看
再寻找一下可疑信息
一个可疑的字符串:M3an_T0rren7_4_R!cke
NSSCTF{M3an_T0rren7_4_R!ck}
注意!提交flag的时候没有最后面的e!
Bit 4 Bit
把那个可疑进程dump出来
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 pslist
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 procdump -p 3720 -D '/home/kali/Desktop/Game'
看看文件成分
这个病毒是.NET
写的
使用dnSpy
打开
在隐藏资源的Form3找到了地址
1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M
NSSCTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}
Graphic’s For The Weak
图片有点可疑,打开之前dump下来的文件
在里面发现了疑似png文件的格式
直接binwalk解了
CTF{S0_Just_M0v3_Socy}
NSSCTF{S0_Just_M0v3_Socy}
Path To Glory 2
刚刚那个病毒是通过种子下载的,加之之前看到了很多chrome进程,所以从chrome记录入手
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 filescan |grep -i "chrome.*history*"
把得到的信息dump下来
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 dumpfiles -Q 0x000000007d45dcc0 -D '/home/kali/Desktop/Game'
这是一个数据库文件
种子是在mail.com里面下载的,所以过滤相关信息
trings /home/kali/Desktop/OtterCTF.vmem > /home/kali/Desktop/OtterCTF.vmem.strings
grep "@mail.com" '/home/kali/Desktop/OtterCTF.vmem.strings'
这个看起来像是邮箱地址,附近应该还有东西,过滤的范围应该更大一些
grep -A 20 "<rickopicko@mail.com>" '/home/kali/Desktop/OtterCTF.vmem.strings'
这就是flag*(这谁找得到啊)*
Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in
NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}
Recovery
找出密码是什么,依然用dnSpy打开勒索病毒查看伪代码
密码组成有一部分为“主机名”+“-”+“用户名”+“ ”
之前得到的主机名WIN-LO6FAF3DTFE
查看用户名
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 hashdump
Rick
得知密码一部分为 WIN-LO6FAF3DTFE-Rick
筛选
strings -e l '/home/kali/Desktop/Game/3720.dmp' | grep "WIN-LO6FAF3DTFE-Rick"
密码为:WIN-LO6FAF3DTFE-Rick aDOBofVYUNVnmp7
NSSCTF{aDOBofVYUNVnmp7}
Closure
被加密的应该就是flag文件了,让我们找找看它在哪里
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 filescan | grep -i "flag"
把它dump下来
vol.py -f '/home/kali/Desktop/OtterCTF.vmem' --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 --dump-dir='/home/kali/Desktop/Game'
把它改个名字
网上找到这个勒索病毒Hidden Tear
在网上可以找到解密程序HiddenTearDecrypter
在解密之前,需要移除文件后所有的十六进制 00,并修改文件的后缀为 .locked,放入一个文件夹里面
解密得到了原文件
修改后缀名
得到了flag!
NSSCTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}