Memlabs lab6 – Walkthrough
Ciao a tutti! oggi chiudiamo la serie di post sul laboratorio MemLabs con l’ultima challenge ( in teoria la più difficile). Iniziamo con il download del dump di memoria del Lab6!
Come sempre leggiamo bene lo scenario, e capiamo cosa cercare prima di analizzare a tappeto ogni possibile evidenza! Nella presentazione infatti ci viene dato un indizio ovvero che la persona indiziata, David utilizzava la macchina per comunicare in internet con i suoi collaboratori!
Da questo indizio possiamo gia focalizzarci su alcuni artefatti, tra cui la cronologia web dei browser… andiamo più in profondità e iniziamo l’analisi:

Ora con il profilo corretto estrapoliamo i processi in esecuzione:


Emergono già diversi processi di Firefox e Chrome, ci torneranno utili per l’indagine.
Provo con un plugin nuovo “screenshot” che mostra ciò che era stampato a video, l’output lo raccolgo in una cartella e analizzo i file singolarmente.
Un file sembra interessante: session_1.WinSta0.Default.png

Se analizziamo e ingrandiamo meglio l’immagine:

Ottimo, dall’immagine qui sopra posso estrarre due informazioni:
- Un indirizzo di posta elettronica: davidbenjamin939@gmail.com
- Mega Drive Key – probabilmente per un download di qualcosa…
Ora, continuiamo la nostra indagine come sempre estraendo i file presenti in memoria e salviamo l’ouput in un file di testo:
vol.py -f MemoryDump_Lab6.raw –profile=Win7SP1x64 filescan>filescan2.txt
Filtro il file con la parola history!

procedo all’estrazione del file della cronologia di Google:
vol.py -f MemoryDump_Lab6.raw –profile=Win7SP1x64 dumpfiles -Q 0x000000005da5a610 -D
Il file della cronologia di google può essere navigato con un semplice SQLite Viewer:

Ho trovato un url interessante di pastebin, approfondiamo e vediamo cosa possiamo estrarre di utile:

Un link a gogole docs …. vediamo un po’:
https://www.google.com/url?q=https://docs.google.com/document/d/1lptcksPt1l_w7Y29V4o6vkEnHToAPqiCkgNNZfS9rCk/edit?usp%3Dsharing&sa=D&source=hangouts&ust=1566208765722000&usg=AFQjCNHXd6Ck6F22MNQEsxdZo21JayPKug
leggendo il file ho trovato un link a Mega: https://mega.nz/#!SrxQxYTQ

Aprendo il link purtroppo ci chiede una password, dopo MOLTISSIMI tentativi, finalmente la combo strings+grep “Mega Drive Key” (contenuta nello screenshot dell’immagine) ha dato i suoi frutti:


Ho estratto con successo la chiave: zyWxCjCYYSEMA-hZe552qWVXiPwa5TecODbjnsscMIU
Scarico quindi il file immagine dal link di mega dopo aver usato la key per la decrittazione.
Aprendo l’immagine “flag_.png” mi dice che il file non è supportato …
Decido di usare il comando “file” per accertarmi della natura del file, ma non vengono restituite informazioni utili. Li, è sorto il dubbio che si trattasse di un file corrotto, il fatto di non riconoscere la tipologia di file mi ha fatto pensare a un errore nell’intestazione del “png”.
Verificando con google ho potuto notare che c’era un carattere sbagliato.. l’intestazione prevede la dicityura “IHDR” e non “iHDR” per tanto provvedo alla sostituzione del carattere, et voilà! l’immagine ora si apre correttamente:


Di seguito mostro lo screenshot del comando per verificare la natura del file, prima e dopo la modifica sull’intestazione:

Siamo arrivati a ottenere una parte della bandiera! inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_
Ora, torniamo ai processi in esecuzione, e un altro processo può sembrare interessante: WINRAR.exe con PID 3716:
con il plugin cmdline verifichiamo che cosa aveva in memoria in quel momento:

Un file “flag.rar”, estraiamolo con dumpfiles, ma prima recuperiamo l’offset del file dalla lista filescan2.txt:

Ora dobbiamo estrarre il file flag.rar ma ci viene chiesta nuovamente una password..
Dopo una serie di plugin e approfondimenti effettuati, con il comando envars + grep “RAR” ho estratto la password richiesta per estrarre l’archivio:

Ora usiamo la stringa “easypeasyvirus” per estrarre l’immagine dall’archivio:

Abbiamo ottenuto la parte mancante della bandiera aN_Am4zING_!_i_gU3Ss???}
non ci resta che unire le due parti:
inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_aN_Am4zING_!_i_gU3Ss???}
Dopo qualche ora di analisi ( xD ) abbiamo terminato la challenge e devo dire che questa è stata davvero tosta, prevedeva l’utilizzo e dimestichezza con diversi tool. Inoltre, il continuo approfondimento di varie “piste” portava a perdersi in informazioni e dati che dopo tanta fatica alla fine non risultavano utili.
Questa serie sul Memlabs è terminata, ma arriveranno presto altri post!
Alla prossima!
Share this content:
Lascia un commento