HeroCTF (v3) - We need you 1/5 (Forensic)


Temps de lecture : 1 minute, 30 secondes | 217 vues
write-up cybersécurité ctf heroctf forensic

Write-up HeroCTF - Forensic - We Need You 1/5

Le challenge

CTF : HeroCTF (version 3)

Nom du challenge : We Need You 1/5 (50 points)

Consigne :

Interpol and the FBI have been investigating for over a year now. They are trying to get their hands on two hackers very well known for their ransomware and their ultra efficient botnet.

After long months of investigation, they managed to get their hands on one of their servers. But, when they got it back the PC caught fire because of a defense mechanism set up by the two hackers.

The hard drive could not be saved, but they had time to put the RAM in liquid nitrogen and analyze it later.

You know what you have to do!

For this first step, find the name of the PC!

Format : Hero{Name}

Author : Worty



Write-up

Nous avons en notre possession le fichier "capture.vmem", dump mémoire de la machine du hacker en questions. On doit trouver le hostname de sa machine dans la RAM !

Pour ça, on va utiliser l'incontournable Volatility :

En trois étapes, on peut facilement retrouver ces informations dans le dump :

  • On trouve le format d'image de ce dump mémoire : Win7SP1x86

  • On cherche sur Internet la clé de registre à analyser pour trouver cette informations : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName

  • On affiche la valeur associée à la clé de registre énoncée précédemment (via l'offset du registre et le nom de la clé)

weneedyou1

On trouve donc bien le nom de la machine et donc le flag Hero{KANNIBAL}. On aurait aussi pu passer par les variables d'environnement :

root@kali:~/Desktop/Challenge# volatility -f capture.mem --profile=Win7SP1x86 envars | grep COMPUTERNAME
Volatility Foundation Volatility Framework 2.6
     408 wininit.exe          0x0028f658 COMPUTERNAME                   KANNIBAL
     472 winlogon.exe         0x00082cd8 COMPUTERNAME                   KANNIBAL
     492 services.exe         0x002b07f0 COMPUTERNAME                   KANNIBAL
     500 lsass.exe            0x001007f0 COMPUTERNAME                   KANNIBAL

Ajouter un commentaire


Commentaires




Tue, 27 Jul 2021 08:54:20 - Par wrBEIRqX : 555



Tue, 27 Jul 2021 08:54:06 - Par wrBEIRqX : 555



Sun, 25 Jul 2021 21:54:39 - Par gvDIgrDT : 555



Sun, 25 Jul 2021 21:53:59 - Par gvDIgrDT : 555


Article précédent