Memory forensics – TryHackMe room
Intro:
La “stanza” o esercitazione proposta da Tryhackme.com si svolge fondamentalmente in tre step, all’interno dei quali vengono forniti 3 diversi dump di memoria da analizzare per recuperare i flag richiesti.
Quindi, procedete con calma e non partite a scoprire qualsiasi cosa al primo dump ottenuto altrimenti rischiate di non submittare nessun flag! esperienza personale xD!
Detto questo, procediamo con effettuare lo scarico dei dump e affrontiamo il primo flag! ricordatevi di usare i dump corretti per ogni flag!
FLAG 1 – WALKTHROUGH
Effettuato il download del dump viene chiesto di individuare la password dell’utente john.
Ora che strada potremmo prendere per poter risponder al quesito?
Come prima operazione lanciamo volatility e individuiamo il profilo della macchina con il plugin imageinfo:
vol.py -f Snapshot6.vmem imageinfo
profilo: Win7SP1x64 quindi direi che si tratta di una macchina windows 7 64 bit.

Ora potremmo estrarre con il plugin hashdump gli hash memorizzati delle password utente, ricordate sempre di riportare il parametro –profile=XXX altrimenti avrete errori nel lancio del comando:

riconoscere una tipologia di hash analizzando la sola stringa non è per nulla facile, per tanto ricerchiamo la tipologia di hash utilizzata, in questo sappiamo che si tratta di NTLM.
John:1001:aad3b435b51404eeaad3b435b51404ee:47fbd6536d7868c873d5ea455f2fc0c9:::
Ora non ci resta che decifrare l’hash con una wordlist oppure sperare di rinvenire la password in un parametro di un comando cmd o altro.. direi che possiamo tenerli come ultima spiaggia..
procediamo con il cracking dell’hash utilizzando un tool di nome Hashcat..
Prima di tutto isoliamo l’hash di interesse:
47fbd6536d7868c873d5ea455f2fc0c9
Ora, abbiamo bisogno di una wordlist, ovvero una lista di parole i quali hash andranno confrontati con la nostra password con l’obbiettivo di trovarne una corrispondenza.
Molto semplcie e reperibile in giro c’è la lista rockyou.txt.
Scarichiamola e usiamola con Hashcat:

specifichiamo il parametro 1000 per NTLM:
hashcat.exe 47fbd6536d7868c873d5ea455f2fc0c9 rockyou.txt -m 1000 –show


Come si evince dagli screenshot ecco a voi la password: charmander999
Primo flag catturato!
FLAG 2 – WALKTHROUGH
Nella seconda analisi ci vengono poste due domande, la prima quale è stato l’ultimo spegnimento della macchina, e la seconda cosa ha digitato john!
Per la prima domanda possiamo ricorrere a un plugin veramente utile come shutdowntime:

ed eccoci la prima risposta!
Per la seconda dobbiamo usare il plugin cmdscan:

ed ecco la nostra seconda bandiera catturata! La risposta è il contenuto tra le parentesi {} “You_found_me” scritto all’interno del file test.txt. Con un analisi approfondita potremmo pure estrarre il file!

FLAG 3 – WALKTHROUGH
In questa sezione ci viene chiesto di recuperare la password di truecrypt.
Ora facciamo un passo indietro, sappiamo che è usato truecrypt perché ci viene chiesto dalla consegna, ma questa informazione potremmo recuperarla andando ad evidenziare tutti i processi che vengono eseguiti al momento del dump, come? Con i plugin pslist, psscan, pstree.
Eseguiamo pslist:

L’output mostra come esiste un processo con PID 1904 e PPID 1180 in esecuzione nel sistema.
Ai fini del nostro flag può tornarci utile il plugin truecryptpassphrase:

ed ecco l’ultimo flag: “forgetmenot”

Direi che abbiamo completato la stanza con successo recuperando tutte le informazioni utili richieste dai vari dump forniti diversi per ogni fase.
Sapreste indicare ulteriori info o IOC utili per questa analisi forense? Vi lascio qualche spunto, provate netscan, connscan, sockets plugin oppure il comando strings e verificate se è presente qualcosa di strano!
Buon Approfondimento!
Share this content:
Lascia un commento