内存取证闯关Memlabs-2

MemLabs Lab 2 - A New World

One of the clients of our company, lost the access to his system due to an unknown error. He is supposedly a very popular "environmental" activist. As a part of the investigation, he told us that his go to applications are browsers, his password managers etc. We hope that you can dig into this memory dump and find his important stuff and give it back to us.
挑战描述
我们公司的一个客户由于未知错误而失去了对其系统的访问权限。据说他是一位非常受欢迎的“环保”活动家。作为调查的一部分,他告诉我们,他常用的应用程序是浏览器、密码管理器等。我们希望你能深入挖掘这个记忆转储,找到他的重要东西并还给我们。
Note: This challenge is composed of 3 flags.
注意:此挑战由 3 个flag组成。

原下载链接:MemLabs_Lab2

备用下载链接请查看memlabs-1闯关博文

解题步骤

先来通读一下描述,那个“环保”,大概指的是环境变量,environment是环境的意思,而“他常用的应用程序是浏览器、密码管理器等”则告知我们关于浏览器和密码可能存在我们所需要的东西

flag1

第一步还是确定操作系统

vol.py -f MemoryDump_Lab2.raw imageinfo

image-20241217095222794

让我们先来了解下cmd是否输入或执行过什么

vol.py -f MemoryDump_Lab2.raw cmdscan

image-20241217111120912

跟conhost.exe相关,接着再来查看下环境变量

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars

这里我偷了点懒,跟这个程序相关,所以我只查看了它的相关的环境变量

image-20241217112454290

一串base编码

image-20241217112657279

得到flag

flag2

接着我们来看一眼浏览器的历史记录

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 iehistory

image-20241217095811125

有点蹊跷的文件总共有四个,分别提取一下看看

Important.rar
stAg3_5.txt
Password.png
Hidden.kdbx
命令使用filescan扫描内存中所有文件,通过管道符连接grep只显示包含文件名的结果。

image-20241217101931393

只能找到后面两个文件,提取一下

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ../Desktop/memlabs

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D ../Desktop/memlabs

image-20241217104517455

图片可以得到密码P4SSw0rd_123,不知道有什么用

打开kdbx还需要keepass等相关工具,填入密码则为P4SSw0rd_123,进入前选择yes查看所有

image-20241217110559717

得到flag

flag3

cmdline一下,发现还打开了chrome浏览器

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdline

image-20241217114430779

查看下该浏览器的历史记录

vol.py -f MemoryDump_Lab2.raw --profile=Win7SP1x64 chromehistory

这里需要两个插件脚本放置volatility-master\volatility\plugins目录下

volatility-plugins/sqlite_help.py at master · superponible/volatility-plugins

image-20241217120119456

这里看到一个网盘链接(做个题总需要点魔法)

image-20241217120256144

image-20241217120741365

这不是我们盼望的重要压缩包吗

image-20241217120817312

密码提示是memlabs第三部分flag的hash值且为小写

Lab-1第三阶段Flag为:flag{w3ll_3rd_stage_was_easy},对其加密为SHA1,密码为:6045dd90029719a039fd2d2ebcca718439dd100a

image-20241217121043782

flag到手

答案

题目 答案
flag1 flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}
flag2 flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!}
flag3 flag{oK_So_Now_St4g3_3_is_DoNE!!}

参考链接:Forenscis MemLabs Labs WriteUp - 先知社区

posted @ 2024-12-17 12:16  kriton  阅读(339)  评论(0)    收藏  举报