otterctf-内存取证

1 - What the password?

  1. 还是找密码,依然是先 -f 文件 imageinfo 查看profile

    image-20241010232542293

  2. –profile=Win7SP1x64 hashdump

    image-20241010232656677

    1
    这段hash解不出来,转lsadump

  3. lsadump

    image-20241010232753666

  4. 得到密码

    1
    MortyIsReallyAnOtter

2 - General Info

  1. 他叫我们寻找pc的名称和ip,又是新的操作,看wp复现

  2. 找ip:查看网络连接,这个有点慢

    1
    --profile=Win7SP1x64 netscan

    image-20241010233547629

    1
    出现了非常多的ip,wp说因为192.168.202.131出现的最多也最像因此是pc的ip

  3. 找pc名称,又是新的操作

    1
    2
    3
    寻找主机利用查注册表  
    --profile=Win7SP1x64 hivelist   
    看到这一串东西

    image-20241010233929040

    1
    2
    3
    主机名称在SYSTEM那一条记录中,注意是结尾大写的那个,再利用  
    -o + 地址 printkey 
    来查看指定的记录

    image-20241010234359576

    1
    2
    之后进行新的操作:跟进
    -o 0xfffff8a000024010 printkey -K "ControlSet001"

    image-20241010234543263

    1
    2
    继续跟进Control
    -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"

    image-20241010234709633

    1
    2
    最后找到我们想要的ComputerName,发现里面还有一个,接着跟进拿下电脑名
    WIN-LO6FAF3DTFE

    image-20241010234826920

3 - Play Time

  1. 找游戏,我们查看进程

    1
    2
    3
    --profile Win7SP1x64 pslist 
    网上搜索发现这个是游戏
    LunarMS.exe

    image-20241010235331228

    1
    2
    同时在前面netscan中寻找他的ip:
    77.102.199.102

    image-20241010235434011

4 - Name Game

  1. 寻找Lunar-3服上的用户名,wp说先用010查看镜像内容,搜索Lunar-3

    会查看到这么些东西

    0tt3r8r33z3 这个奇怪的东西就是用户名

    image-20241010235750854

  2. 同时我们也可以通过string命令寻找

    1
    strings OtterCTF.vmem|grep Lunar-3 -C 5

5 - Name Game 2

  1. 打印游戏进程,又是一个新操作

    用memdump把前面那个LunarMS.exe游戏进程打印出来

    进程号PID可以看前面的pslist

    image-20241011000259624

    image-20241011000313005

  2. memdump

    1
    --profile=Win7SP1x64 memdump -p 708 -D ./

    image-20241011001503016

    1
    2
    看题目,wp说有问号的不好找,我们在010寻找5a 0c 00 最后在一处找到用户名
    M0rtyL0L

    image-20241011001540415

6 - Silly Rick

  1. 看题目说他老是复制粘贴,又有新操作:查看粘贴板

    1
    2
    3
    --profile Win7SP1x64 clipboard    
    这个是纯慢,不是崩了,不要担心
    很明显这个M@il_Pr0vid0rs就是答案了

    image-20241011002540855

7 - Hide And Seek

  1. 第一种方式:

    还是看题目

    image-20241011002839141

    1
    恶意软件进程,我们查看进程,这玩意跟题目一毛一样哈,然后他的下面有一个vmware,他的ppid比pid大,由此推断估计是他了

    image-20241011003010381

    1
    2
    3
    之后我们查看cmd历史进程--profile Win7SP1x64 cmdline  
    wp有句话叫这玩意在temp底下.一看就不是好东西,就是他了
    vmware-tray.exe

    image-20241011003437695

  2. 第二种方式

    1
    2
    3
    用pstree查看进程树
    --profile Win7SP1x64 pstree
    他们下面的ppid=上面的pid,是他的子进程,非常奇怪

    image-20241011003706186

    1
    2
    可以用dlllist查看一下进程相关的dll文件列表
    --profile=Win7SP1x64 dlllist -p 3720

    image-20241011003943685

    1
    再次发现他在temp下,不是个好东西

8 - Path To Glory

  1. 恶意软件如何进入pc,先查看进程

    1
    2
    3
    4
    5
    6
    filescan|grep 'Rick And Morty'
    windows不能用grep, 改成
    filescan | findstr 'Rick And Morty'
    仍然不够精确,因此我们打开powershell输入
    --profile=Win7SP1x64 filescan | Select-String -Pattern "Rick And Morty"
    精准找到

  2. 之后重点关注后面带.torrent的

    image-20241011082607820

  3. 将这几个重点关注的提取出来

    1
    --profile=Win7SP1x64 dumpfiles -Q 地址 -D 存放地址

  4. 最后利用strings找到关键信息

    image-20241011083659227

9 - Path To Glory 2

  1. torrent文件是通过web浏览器下载的 先将所有的chrome进程转储下来:

    1
    memdump -n chrome.exe -D 存放地址

    image-20241011085608254

    1
    2
    错误示范:之后利用strings寻找字符串
    C:\Users\cl\Desktop\strings.exe Z:\内存分析\otterctf\chrome\* | Select-String -Pattern 'Rick And Morty season 1 download.exe' -Context 10
    1
    2
    3
    4
    重点: 
    1. Z:\内存分析\otterctf\chrome\* 进入文件夹
    2. Select-String -Pattern 'Rick And Morty season 1 download.exe' -Context 10 没有grep的-C,我们使用-Context 10,显示前10行
    但是最后windows还是不够清晰,还是得去linux使用grep
    1
    strings ./chrome/* | grep 'Rick And Morty season 1 download.exe' -C 10

    image-20241011140251755

    最后找到答案

    1
    Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@inYear