/ forensic

cyber@hack - Do you deserve me ?

Enoncé: Do you deserve it ?
Fichier : chall.elf

En faisant un strings sur le fichier, on se rend vite compte qu'il s'agit d'un dump mémoire. On confirme avec volatility

volatility -f chall.elf imageinfo

Suggested Profile(s) : Win2008R2SP0x64, Win7SP1x64, Win7SP0x64, Win2008R2SP1x64

On va donc regarder les processus

volatility -f chall.elf --profile=Win7SP1x64 pstree

 0xfffffa80025db9e0:wininit.exe                       404    348      3     81 2016-08-03 15:16:51 UTC+0000
. 0xfffffa800264ab30:lsm.exe                          512    404     10    152 2016-08-03 15:16:52 UTC+0000
. 0xfffffa8002638300:services.exe                     492    404     10    211 2016-08-03 15:16:52 UTC+0000
.. 0xfffffa80028e35f0:svchost.exe                    1216    492     17    312 2016-08-03 15:16:58 UTC+0000
.. 0xfffffa8002a02b30:svchost.exe                    1388    492     15    252 2016-08-03 15:17:01 UTC+0000
.. 0xfffffa8000edcb30:mscorsvw.exe                    912    492      6     78 2016-08-03 15:19:09 UTC+0000
.. 0xfffffa8002dc9b30:svchost.exe                    1756    492      6     44 2016-08-03 15:21:15 UTC+0000
.. 0xfffffa80026e1750:VBoxService.ex                  664    492     12    121 2016-08-03 15:16:53 UTC+0000
.. 0xfffffa8001b74b30:msiexec.exe                     928    492     10    172 2016-08-03 15:21:34 UTC+0000
... 0xfffffa8002d2b2a0:msiexec.exe                   2728    928      5    124 2016-08-03 15:21:40 UTC+0000
.. 0xfffffa80028b65e0:spoolsv.exe                    1188    492     12    292 2016-08-03 15:16:58 UTC+0000
.. 0xfffffa80026b1a70:svchost.exe                     604    492     11    358 2016-08-03 15:16:52 UTC+0000
... 0xfffffa8000f558d0:WmiPrvSE.exe                  3052    604      8    120 2016-08-03 15:21:17 UTC+0000
.. 0xfffffa8001426a70:TrustedInstall                 1148    492      6    130 2016-08-03 15:20:22 UTC+0000
.. 0xfffffa80028661a0:SearchIndexer.                 1012    492     12    622 2016-08-03 15:17:16 UTC+0000
... 0xfffffa8000f53b30:SearchFilterHo                2188   1012      4     82 2016-08-03 15:20:13 UTC+0000
... 0xfffffa8002ca0b30:SearchProtocol                1304   1012      8    281 2016-08-03 15:17:16 UTC+0000
.. 0xfffffa80027235f0:svchost.exe                     828    492     19    468 2016-08-03 15:16:54 UTC+0000
... 0xfffffa800279c1f0:audiodg.exe                    976    828      3    117 2016-08-03 15:16:56 UTC+0000
.. 0xfffffa80027da4a0:svchost.exe                     320    492     11    289 2016-08-03 15:16:57 UTC+0000
.. 0xfffffa8002820b30:svchost.exe                     968    492     18    383 2016-08-03 15:16:57 UTC+0000
.. 0xfffffa8002ba04c0:taskhost.exe                   1916    492      9    181 2016-08-03 15:17:07 UTC+0000
.. 0xfffffa8002695b30:svchost.exe                     728    492      7    279 2016-08-03 15:16:53 UTC+0000
.. 0xfffffa8000f1c7d0:mscorsvw.exe                   1636    492      6     84 2016-08-03 15:19:07 UTC+0000
.. 0xfffffa80027689e0:svchost.exe                     860    492     21    432 2016-08-03 15:16:55 UTC+0000
... 0xfffffa8002bc7060:dwm.exe                       1980    860      5     83 2016-08-03 15:17:07 UTC+0000
.. 0xfffffa8000f4e060:sppsvc.exe                     1760    492      4    145 2016-08-03 15:19:09 UTC+0000
.. 0xfffffa800296a6d0:armsvc.exe                     1340    492      9    238 2016-08-03 15:16:59 UTC+0000
... 0xfffffa80029758c0:AdobeARMHelper                3032   1340      0 ------ 2016-08-03 15:21:30 UTC+0000
.... 0xfffffa8000cfab30:AdobeARM.exe                 2724   3032      9    237 2016-08-03 15:21:31 UTC+0000
.. 0xfffffa8000f44b30:svchost.exe                    1136    492     16    371 2016-08-03 15:19:09 UTC+0000
.. 0xfffffa8002773740:svchost.exe                     892    492     37   1297 2016-08-03 15:16:55 UTC+0000
... 0xfffffa8002806060:WMIADAP.exe                   2956    892      7     88 2016-08-03 15:21:11 UTC+0000
. 0xfffffa8002640330:lsass.exe                        500    404      7    589 2016-08-03 15:16:52 UTC+0000
 0xfffffa80024f5060:csrss.exe                         360    348      9    445 2016-08-03 15:16:51 UTC+0000
 0xfffffa8000ca0040:System                              4      0     90    534 2016-08-03 15:16:47 UTC+0000
. 0xfffffa8001da2b30:smss.exe                         280      4      2     30 2016-08-03 15:16:47 UTC+0000
 0xfffffa80025d79e0:csrss.exe                         396    388      9    242 2016-08-03 15:16:51 UTC+0000
 0xfffffa80025e8830:winlogon.exe                      432    388      3    115 2016-08-03 15:16:51 UTC+0000
 0xfffffa8002ba6870:explorer.exe                     2008   1960     25    797 2016-08-03 15:17:07 UTC+0000
. 0xfffffa8000d03580:firefox.exe                     2604   2008     65    877 2016-08-03 15:18:49 UTC+0000
. 0xfffffa8002c63440:VBoxTray.exe                    1124   2008     13    156 2016-08-03 15:17:08 UTC+0000
 0xfffffa8002d80340:RdrCEF.exe 

On remarque un processus Firefox, on va donc regarder l'historique avec le module firefoxhistory disponible à l'adresse suivante : https://github.com/superponible/volatility-plugins/blob/master/firefoxhistory.py

33 https://www.cyberathack.com/ Cyber@Hack | La Sécurité n'aura plus de secret pour vous !
41 file:///E:cyber@swag.pdf 
34 http://pastebin.com/  Pastebin.com - #1 paste tool since 2002!  
cyber@swag.pdf                                     

On remarque donc le téléchargement d'un fichier PDF, et un accès à pastebin.

On va donc dumper la mémoire du processus

volatility -f chall.elf --profile=Win7SP1x64 memdump -p 2604 -D FLAG

Afin de récuperer le PDF on va lancer foremost sur le fichier obtenu.

foremost 2064.dmp

OK, on récupère bien le PDF. On ouvre le PDF, on s'attend à voir un flag ou un indice et...

Rien !
En cherchant, un peu on trouve un indice avec un Ctrl+A. (Pfffff...)

On obtiens la chaine suivante : i6ZMC2ss

Au vu du format de la chaine + du résultat firefoxhistory (pastebin)

On se rend à l'adresse http://pastebin.com/i6ZMC2ss

FLAG : flag{Y0u-d3s3rv3-th15-0n3-b3ut1fu1-h4x0rr}