MemLabs取证-Pass-06题解

Pass-06
2023年4月7日
9:42
挑战说明
我们从情报局收到了这个内存转储。 他们说这个证据可能包含黑帮大卫本杰明的一些秘密。这个内存转储是从本周早些时候被 FBI 逮捕的他的一名员工那里获取的。你的工作是通过内存转储，看看你是否能找出一些东西。FBI还表示，大卫通过互联网与他的工人交流，因此这可能是一个很好的起点。
注意：此挑战由 1 个标志组成，分为 2 个部分。

本实验的标志格式为： inctf{s0me_l33t_Str1ng}

一、flag（1/2）：
1、先获取内存转储的详细信息，使用：imageinfo

vol.py -f MemoryDump_Lab6.raw imageinfo

2、查看cmd的输入输出情况，使用：cmdscan 和 consoles

2.1查看输入：

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 cmdscan

发现有异常输入：whoami 和 env

2.2查看输出：

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 consoles

3、我们发现有一些可疑信息，但不够详细，我们需要更详细的cmd执行和输出情况，下面我们将使用：cmdline

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 cmdline

这里可疑发现可疑文件flag.rar被winrar进行解压，我们去找到这个文件

4、找到并提取上面发现的可疑文件，还原文件名，使用：filescan | grep 和 mv

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 filescan | grep flag

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000005fcfc4b0 -D ./

mv file.None.0xfffffa800138d750.dat flag.rar

5、尝试解压

发现有密码且没有注释进行密码提示

6、（寻找密码）去环境变量看看，是否有密码或相关提示，使用：envar

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 envars | grep -E "rar|RAR|password|Password"

通过筛选与rar和password相关的东西后，找到大量一致的密码，尝试使用其解密压缩包

7、再次尝试解压

找到后半部分flag：

二、flag（2/2）：
1、根据题中：“FBI还表示，大卫通过互联网与他的工人交流，因此这可能是一个很好的起点”可知我们下一步的目标是浏览器等历史，先查看进程信息，使用：psscan

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 psscan

发现有多个浏览器的运行情况，对他们的历史记录进行筛查

2、我们通过筛查，发现chrome的历史记录中有可疑连接，使用：chromhistory

chromehistory等相关插件包：superponible/volatility-plugins: Plugins I've written for Volatility (github.com)

vol.py -f MemoryDump_Lab6.raw --profile=Win7SP1x64 chromehistory > chrome.txt

3、打开链接

提示说key就在邮件中

4、打开连接，发现是一个在线文档

其中有唯一的一个连接，是一个网盘连接，打开它

5、打开网盘链接

提示需要密码

6、试试对整个内存转储进行查看、筛选，观察是否有相关关键字，使用：strings

strings -n 500 MemoryDump_Lab6.raw | grep -E "MEGA|Mega"

在里面找到了mega云盘的密码：zyWxCjCYYSEMA-hZe552qWVXiPwa5TecODbjnsscMIU

7、尝试打开网盘下载文件

下载成功里面是一个图片

但该图片文件似乎有问题，无法打开

8、查看其编码信息

发现标题处有问题

将69改为49

9、找到另一半flag