内存取证闯关Memlabs-6

MemLabs Lab 6 - The Reckoning

挑战描述

We received this memory dump from the Intelligence Bureau Department. They say this evidence might hold some secrets of the underworld gangster David Benjamin. This memory dump was taken from one of his workers whom the FBI busted earlier this week. Your job is to go through the memory dump and see if you can figure something out. FBI also says that David communicated with his workers via the internet so that might be a good place to start.

我们从情报局部门收到了这个内存转储。他们说，这些证据可能隐藏着黑社会黑帮大卫·本杰明的一些秘密。这个内存转储是从他的一名员工那里拿走的，本周早些时候被 FBI 逮捕了。您的工作是检查内存转储，看看是否能找出一些东西。FBI 还表示，David 通过互联网与他的员工进行了交流，因此这可能是一个不错的起点。

Note: This challenge is composed of 1 flag split into 2 parts.

The flag format for this lab is: inctf{s0me_l33t_Str1ng}

注意：本次挑战赛由 1 个flag组成，分为 2 个部分。

本实验的标志格式为：inctf{s0me_l33t_Str1ng}

原下载链接：MemLabs_Lab6

备用下载链接请查看内存取证闯关-1

解题步骤

vol.py -f MemoryDump_Lab6.raw imageinfo

还是先查看操作系统版本信息

然后查看了cmdline的相关信息

vol.py -f MemoryDump_Lab6.raw imageinfo

映入眼帘的便是这明显的flag.rar了，检索并提取

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 filescan | grep flag.rar

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000005fcfc4b0 -D ../Desktop

mv file.None.0xfffffa800138d750.dat flag.rar

里面包含一个名为flag2.png的图片，大概是flag的第二部分

那么跟解压缩有关，查看进程也能发现调用了winrar工具，那么在环境变量里面尝试找找

红框标出的即为flag.rar的密码

得到flag的后半部分

因为题目中说在互联网上有所交流，因此保险起见再查看下浏览器历史记录，但是ie，chrome，firefox都出现了，按顺序来吧

vol.py  --plugins=ctf/volatility-master/volatility/plugins -f MemoryDump_Lab6.raw --profile=Win7SP1x64 chromehistory > 1.txt

在查找chrome记录时发现了一个可疑的网站，浏览看一下

给了一个网址，大概需要访问

But David sent the key in mail.
但大卫通过邮件发送了密钥。

所以说key还是藏起来了

访问说是向上图这样，毕竟是谷歌站点

然后在后面的篇幅中找到一个网盘地址

访问，需要密钥才能得到文件，所以我们需要找到key

搜索镜像中带有Mega字符的ASCII文本

strings -n 500 MemoryDump_Lab6.raw | grep Mega

得到key值，填入，获得一张不能打开的图片，剩下的就是杂项的思路了

010打开，发现标题处为iHDR，应为大写IHDR，将69改为49

这样就能正常打开图片了，得到flag前半段

拼接得到inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_aN_Am4zINg_!_i_gU3Ss???_}