目录
分析架构
data?? 仅此而已!!
从这可以看出它是Win7的内存转储文件!
我们使用第一个 Win7SP1x86_23418
列出进程
使用pslist列出进程!!
这三个进程都很可疑!其中 7zFM.exe 更加可疑!
7z不就是一种压缩格式吗? 莫非线索是压缩文件吗??
使用filescan 查找zip文件!!
backup_development.zip 这个应该就是我们想要的,我们下载到本地!!
使用dumpfiles 下载到本地
分析下载文件
因为我们下载的是zip文件!所以我们改名后并解压!
┌──(root㉿ru)-[~/kali/rx_test]
└─# mv file.None.0x839339d0.backup_development.zip.dat development.zip
┌──(root㉿ru)-[~/kali/rx_test]
└─# ls
development.zip file.None.0x9185db40.backup_development.zip.vacb
┌──(root㉿ru)-[~/kali/rx_test]
└─# unzip development.zip
Archive: development.zip
extracting: development.tc
得到文件 development.tc !
这是一个容器文件!我们需要把它挂载到本地
使用 VeraCrypt 即可,但是需要密码!没事,我们使用vol插件 truecryptpassphrase
密码:
X2Hk2XbEJqWYsh8VdbSYg6WpG9g7
VeraCrypt
使用此工具挂载文件!
一定要下载 TrunCrypt版本的!
打开之后有个c#文件,以及一个文件夹!
这个脚本是用来DES加密的!那解密文件就应该是那三个了!
get flag
第一个文件
┌──(root㉿ru)-[/media/veracrypt1/malware_agent/sessions]
└─# cat 5818acbe-68f1-4176-a2f2-8c6bcb99f9fa.log.enc
wENDQtzYcL3CKv0lnnJ4hk0JYvJVBMwTj7a4Plq8h68=
M35jHmvkY9WGlWdXo0ByOJrYhHmtC8O0rZ28CviPexkfHCFTfKUQVw==
hufGZi+isAzspq9AOs+sIwqijQL53yIJa5EVcXF3QLLwXPS1AejOWfPzJZ/wHQbBAIOxsJJIcFq0+83hkFcz+Jz9HAGl8oDianTHILnUlzl1oEc30scurf41lEg+KSu/6orcZQl3Bws=
6ySb2CBt+Z1SZ4GlB7/yL4cOS/j1whoSEqkyri0dj0juRpFBc4kqLw==
U2ltlIYcyGYnuh0P+ahTMe3t9e+TYxKwU+PGm/UsltpkanmBmWym5mDDqqQ14J/VSSgCRKXn/E+DKaxmNc9PpPOG1vZndmflMUnuTUzbiIdHBUAEOWMO8wVCufhanIdN56BhtczjrJS5HRvl9NwE/FNkLGZt6HQNSgDRzrpY0mseJHjTbkal6nh226f43X3ZihIF4sdLn7l766ZksE9JDASBi7qEotE7f0yxEbStNOZ1QPDchKVFkw==
第二个文件
┌──(root㉿ru)-[/media/veracrypt1/malware_agent/sessions]
└─# cat c65939ad-5d17-43d5-9c3a-29c6a7c31a32.log.enc
wENDQtzYcL3CKv0lnnJ4hk0JYvJVBMwTj7a4Plq8h68=
M35jHmvkY9WGlWdXo0ByOJrYhHmtC8O0eu8xtbA16kKagSu6MIFSWQ==
hufGZi+isAzspq9AOs+sI0VYrJ6o8j3e9a1tNb9m1bVwJZpRxCOxg3Vs0NdU9xNxPku+sBziVYsVaOtgWkbH9691++BUkD1BNVRMc0e69lVs2cJmQIAbnagMaJ6OQEZAAvZ/G6y57CQ=
6ySb2CBt+Z1SZ4GlB7/yL8asWs1F/wTUTOLEHO92yuzuTzdsiM5t5w==
U2ltlIYcyGYnuh0P+ahTMe3t9e+TYxKwU+PGm/UsltpkanmBmWym5mDDqqQ14J/VSSgCRKXn/E+DKaxmNc9PpPOG1vZndmflMUnuTUzbiIdHBUAEOWMO8wVCufhanIdN56BhtczjrJS5HRvl9NwE/FNkLGZt6HQNSgDRzrpY0mseJHjTbkal6nh226f43X3ZihIF4sdLn7l766ZksE9JDASBi7qEotE7f0yxEbStNOZ1QPDchKVFkw==
第三个文件
wENDQtzYcL3CKv0lnnJ4hk0JYvJVBMwTj7a4Plq8h68=
M35jHmvkY9WGlWdXo0ByOJrYhHmtC8O0hn+gLHaClb4QbACeOoSiYA==
hufGZi+isAzspq9AOs+sI/u+AS/aWPrAYd+mctDo7qEt+SpW2sELvSaxx6RRdK3vDavTsziAtb4/iCZ72v3QGh78yhY2KXZFu8qAcYdN7ltOOlg1LSrdkhjgr+CWTlvWh7A8IS7NwwI=
6ySb2CBt+Z1SZ4GlB7/yL4rJGeZ0WVaYW7N15aUsDAqzIYJWL/f0yw==
U2ltlIYcyGaSmL5xmAkEop+/f5MGUEWeWjpCTe5eStd/cg9FKp89l/EksGB90Z/hLbT44/Ur/6XL9aI27v0+SzaMFsgAeamjyYTRfLQk2fQlsRPCY/vMDj0FWRCGIZyHXCVoo4AePQB93SgQtOEkTQ2oBOeVU4X5sNQo23OcM1wrFrg8x90UOk2EzOm/IbS5BR+Wms1M2dCvLytaGCTmsUmBsATEF/zkfM2aGLytnu5+72bD99j7AiSvFDCpd1aFsogNiYYSai52YKIttjvao22+uqWMM/7Dx/meQWRCCkKm6s9ag1BFUQ==
+iTzBxkIgVWgWm/oyP/Uf6+qW+A+kMTQkouTEammirkz2efek8yfrP5l+mtFS+bWA7TCjJDK2nLAdTKssL7CrHnVW8fMvc6mJR4Ismbs/d/fMDXQeiGXCA==
#解密DES脚本
#!/bin/env/python3
# -*- coding:utf-8 -*-
import base64
import os
from Crypto.Cipher import DES
key = b"AKaPdSgV"
iv = b"QeThWmYq"
def decryptSessionData(ctext):
def pad(text):
n = len(text) % 8
return text + (b' ' * n)
data = pad(base64.b64decode(ctext))
des = DES.new(key, DES.MODE_CBC, iv)
print(des.decrypt(data))
path = 'veracrypt1/malware_agent/sessions/'
for file in os.listdir(path):
f = open(os.path.join(path, file), 'r')
lines = f.readlines()
f.close()
for line in lines:
decryptSessionData(line)
解密成功!
nHTB{570r1ng_53cr37_1n_m3m0ry_15_n07_g00d}