[write-up] Root-Me: Forensics Part 2

Find me#

Dùng volatility để phân tích bộ nhớ ram

1
 volatility -f dump imageinfo
2
Volatility Foundation Volatility Framework 2.6.1
3
INFO    : volatility.debug    : Determining profile based on KDBG search...
4
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
5
                     AS Layer1 : IA32PagedMemory (Kernel AS)
6
                     AS Layer2 : FileAddressSpace (/home/minhtuan/Documents/Cyber_Security/CTFs/RootMe/ch188/dump)
7
                      PAE type : No PAE
8
                           DTB : 0x185000L
9
                          KDBG : 0x8294bbe8L
10
          Number of Processors : 1
11
     Image Type (Service Pack) : 0
12
                KPCR for CPU 0 : 0x8294cc00L
13
             KUSER_SHARED_DATA : 0xffdf0000L
14
           Image date and time : 2016-09-15 10:12:31 UTC+0000
15
     Image local date and time : 2016-09-15 12:12:31 +0200

plugin pstree để xem các tiến trình theo quan hệ cha-con

1
 0x84e27030:TrueCrypt.exe                           3224   1956     14    326 2016-09-15 10:11:20 UTC+0000
2
. 0x85a57d40:firefox.exe                             2720   1956     49    756 2016-09-15 10:11:15 UTC+0000
3
. 0x85a39ab8:mspaint.exe                             2644   1956      7    147 2016-09-15 10:11:13 UTC+0000
4
. 0x858cbd40:VBoxTray.exe                            1124   1956     14    167 2016-09-15 10:10:53 UTC+0000
5
 0x8579a030:notepad.exe                              3716   3684      2     59 2016-09-15 10:11:59 UTC+0000

Ta thấy có tiến trình TrueCrypt.exe là một phần mềm mã nguồn mở dùng để tạo ổ đĩa ảo được mã hóa hoặc mã hóa toàn bộ phân vùng/ổ đĩa thật

Giờ thì cần tìm file bị mã hóa ổ địa và mật khẩu TrueCrypt, ta sẽ dùng plugin cmdline

1
notepad.exe pid:   3716
2
Command line : "C:\Windows\system32\NOTEPAD.EXE" C:\Users\info\Desktop\findme

Oke đã tìm thấy file tên là findme, kéo nó về

1
volatility -f dump --profile=Win7SP1x86_23418 filescan | grep "findme"
2
Volatility Foundation Volatility Framework 2.6.1
3
0x000000001ee20110      3      0 R--rwd \Device\HarddiskVolume2\Users\info\Desktop\findme

1
 volatility -f dump --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001ee20110 -D .
2

3
Volatility Foundation Volatility Framework 2.6.1
4
DataSectionObject 0x1ee20110   None   \Device\HarddiskVolume2\Users\info\Desktop\findme

Dùng plugin truecryptsummary để tìm mật khẩu của TrueCrypt

1
volatility -f dump --profile=Win7SP1x86_23418 truecryptsummary
2
Volatility Foundation Volatility Framework 2.6.1
3
Registry Version     TrueCrypt Version 7.0a
4
Password             R3sqdl3Fuuz2ZdbdYsf56opFFLe9sAsx at offset 0x87433e44
5
Process              TrueCrypt.exe at 0x84e27030 pid 3224
6
Service              truecrypt state SERVICE_RUNNING
7
Kernel Module        truecrypt.sys at 0x87400000 - 0x87437000
8
Symbolic Link        Volume{a4cc2add-7b2c-11e6-b853-0800271fb50b} -> \Device\TrueCryptVolumeF mounted 2016-09-15 10:11:42 UTC+0000
9
Driver               \Driver\truecrypt at 0x1ee1d700 range 0x87400000 - 0x87436980
10
Device               TrueCrypt at 0x84e1dc90 type FILE_DEVICE_UNKNOWN

Đã có password giờ thì mount ổ đĩa bình thường

Mở ảnh flag.png nhưng không có flag bên trong :))), readme.txt cũng vậy, nhưng file readme.odt có một bài hướng dẫn sử dụng keepass, Nhưng mà file database của keepass ở đâu ????

Sau 1 lúc thì mình steganography trên file readme.odt Dùng binwalk sẽ thấy một tệp zip bị ẩn bên trong, giải nén và tìm được file database của keepass trong thư mục data

1
file data/my_safety_box
2
data/my_safety_box: Keepass password database 2.x KDBX

Nhưng mà không có mật khẩu để vào :)), quay lại file dump dùng hashdump để trích xuất hash mật khẩu sau đó dùng john để bẻ khóa (Mật khẩu là ở người dùng infor)

1
volatility -f dump --profile=Win7SP1x86_23418 hashdump
2
Volatility Foundation Volatility Framework 2.6.1
3
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
4
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
5
HomeGroupUser$:1001:aad3b435b51404eeaad3b435b51404ee:57e82f46aff390080f143c09ab2c5b68:::
6
info:1002:aad3b435b51404eeaad3b435b51404ee:dc3817f29d2199446639538113064277:::

1
john --format=NT --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
2
Using default input encoding: UTF-8
3
Loaded 3 password hashes with no different salts (NT [MD4 256/256 AVX2 8x3])
4
Remaining 2 password hashes with no different salts
5
Warning: no OpenMP support for this hash type, consider --fork=4
6
Press 'q' or Ctrl-C to abort, almost any other key for status
7
#1Godfather      (info)
8
1g 0:00:00:00 DONE (2025-06-29 13:14) 1.724g/s 24730Kp/s 24730Kc/s 49444KC/s  _ 09..*7¡Vamos!
9
Warning: passwords printed above might not be all those cracked
10
Use the "--show --format=NT" options to display all of the cracked passwords reliably
11
Session completed.

Đã có file database và password giờ thì vào keepass xem có flag khong :)))

1
keepassxc my_safety_box

Và tất nhiên là không dễ dàng đến thế :))) một đống file, không thể xem từng cái được nên mình sẽ export về dạng CSV

Mở ta sẽ thấy 1 đoạn được mã hóa bằng base64 khá dài, giải mã tầm 10 lần liên tục ta sẽ nhận được flag hehe ;))

Find me again#

Giải nén ra ta được 2 file

1
tar -xvf ch19.txz
2
backup/
3
backup/forensic.img
4
backup/memory.raw

Sử dụng fls để xem toàn bộ file ở phân vùng forensic.img nhưng đã bị mã hóa LUKS muốn giải mã thì cần mật khẩu hoăc key

1
fls forensic.img
2
Encryption detected (LUKS)

Ta quay lại phân tích file memory.raw, sử dụng volatility nhưng không tìm được imageinfo, sau một lúc thì biết được memory.raw không có sẵn và cũng không phải của window mà là của Linux

1
strings memory.raw | grep "Linux version"
2

3
Linux version 4.4.0-72-lowlatency (buildd@lcy01-17) (gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4) ) #93-Ubuntu SMP PREEMPT Fri Mar 31 15:25:21 UTC 2017 (Ubuntu 4.4.0-72.93-lowlatency 4.4.49)
4
Linux version 4.4.0-72-lowlatency (buildd@lcy01-17) (gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4) ) #93-Ubuntu SMP PREEMPT Fri Mar 31 15:25:21 UTC 2017 (Ubuntu 4.4.0-72.93-lowlatency 4.4.49)
5
 o  The intent is to make the tool independent of Linux version dependencies,

Phải tiến hành cài profile khá lằng nhằng chúng ta để sau

Mở file LUKS

Để tìm được key thì có 1 tool đơn giản khá hiệu quả là aeskeyfind

1
aeskeyfind memory.raw
2
8d3f527de514872f595908958dbc0ed1
3
Keyfind progress: 100%

Giờ đã có key dùng cryptsetup để mount phân vùng

1
echo "8d3f527de514872f595908958dbc0ed1" | xxd -r -p > lukskey.bin

1
sudo cryptsetup luksOpen forensic.img luks_forensic --master-key-file lukskey.bin

1
sudo mkdir /mnt/forensic

1
sudo mount /dev/mapper/luks_forensic /mnt/forensic

1
ls /mnt/forensic
2
dir2  lost+found

Chúng ta có mount phân vùng ra và được thư mục dir2 có 3 file

1
ls
2
end.png  findme.txt.gpg  readme.txt

file findme.txt.gpg bị mã hóa gpg

Tệp end.png

Thấy ảnh png có vẻ nghi ngờ nên mình dùng binwalk trích xuất ra 1 tệp zip chứa file end.zip.gpg

1
binwalk end.png
2

3

4
DECIMAL       HEXADECIMAL     DESCRIPTION
5
--------------------------------------------------------------------------------
6
0             0x0             PNG image, 850 x 300, 8-bit/color RGB, non-interlaced
7
320           0x140           Zlib compressed data, best compression
8
917           0x395           Zlib compressed data, best compression
9
493886        0x7893E         Zip archive data, at least v2.0 to extract, compressed size: 61917, uncompressed size: 61907, name: end.zip.gpg
10
555953        0x87BB1         End of Zip archive, footer length: 22

Vậy là có 2 file findme.txt.gpg và end.zip.gpg đều bị mã hóa gpg

Profile Volatility

Cài đặt profile LinuxUbuntu16044x64

Các tập tin gpg

Dùng plugin linux_bash để xem các lệnh bash được dùng

1
volatility -f memory.raw --profile=LinuxUbuntu16044x64 linux_bash
2

3
Volatility Foundation Volatility Framework 2.6.1
4
Pid      Name                 Command Time                   Command
5
-------- -------------------- ------------------------------ -------
6
    1229 bash                 2017-04-14 07:58:36 UTC+0000   history
7
    1229 bash                 2017-04-14 07:58:36 UTC+0000   apt-get install linux-image-4.4.0-72-lowlatency linux-headers-lowlatency
8
    1229 bash                 2017-04-14 07:58:36 UTC+0000   reboot
9
    1229 bash                 2017-04-14 07:58:36 UTC+0000   apt-get insta
10
    1229 bash                 2017-04-14 07:59:07 UTC+0000   history
11
    1229 bash                 2017-05-05 12:04:44 UTC+0000   apt-get install lynx gnupg
12
    1229 bash                 2017-05-05 12:06:54 UTC+0000   nano /etc/fstab
13
    1229 bash                 2017-05-05 12:06:58 UTC+0000   nano /etc/crypttab
14
    1229 bash                 2017-05-05 12:07:08 UTC+0000   cd /mnt/
15
    1229 bash                 2017-05-05 12:07:29 UTC+0000   cp -R /media/sf_DUMP/dir* .
16
    1229 bash                 2017-05-05 12:07:38 UTC+0000   ping 8.8.8.8
17
    1229 bash                 2017-05-05 12:09:14 UTC+0000   gpg --quick-gen-key 'Troll <abuse@root-me.org>' rsa4096 cert 1y
18
    1229 bash                 2017-05-05 12:09:49 UTC+0000   lynx -accept_all_cookies "https://www.google.com/?=password+porno+collection"
19
    1229 bash                 2017-05-05 12:10:27 UTC+0000   gpg --yes --batch --passphrase=1m_4n_4dul7_n0w -c findme.txt
20
    1229 bash                 2017-05-05 12:10:37 UTC+0000   lynx -accept_all_cookies "https://www.google.com/?=password+troll+memes"
21
    1229 bash                 2017-05-05 12:11:04 UTC+0000   gpg --yes --batch --passphrase=Troll_Tr0ll_TrOll -c end.zip
22
    1229 bash                 2017-05-05 12:11:20 UTC+0000   nano dir1/dic_fr_l33t.txt
23
    1229 bash                 2017-05-05 12:11:28 UTC+0000   rm findme.txt
24
    1229 bash                 2017-05-05 12:11:35 UTC+0000   rm -rf dir1/
25
    1229 bash                 2017-05-05 12:11:55 UTC+0000   dd if=/dev/sdb of=/media/sf_DUMP/forensic.img bs=2048

Ta thấy có các câu lệnh mã hóa 2 file findme.txt.gpg và end.zip.gpg có mật khẩu kèm theo, giờ thì giải mã khá đơn giản

1
gpg --batch --yes --passphrase 1m_4n_4dul7_n0w -d findme.txt.gpg > findme.txt
2

3
gpg: AES.CFB encrypted data
4
gpg: encrypted with 1 passphrase

file fixme.txt chứa

1
cat findme.txt
2
The flag is not here of course !!!
3
You must find it :-)
4
Troll one day troll always ........

1
gpg --batch --yes --passphrase Troll_Tr0ll_TrOll -d end.zip.gpg > end.zip
2

3
gpg: CAST5.CFB encrypted data
4
gpg: encrypted with 1 passphrase
5
gpg: WARNING: message was not integrity protected

Giải nén tệp end.zip nhưng nó yêu cầu mật khẩu :)))

Mật khẩu end.zip

Xem lại lịch sử bash, chúng ta thấy rằng dir1/dic_fr_l33t.txt đã được chỉnh sửa rồi xóa. Hãy thử khôi phục tệp này

1
sudo extundelete /dev/mapper/luks_forensic --restore-directory dir1
2

3
NOTICE: Extended attributes are not restored.
4
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
5
The partition should be unmounted to undelete any files without further data loss.
6
If the partition is not currently mounted, this message indicates
7
it was improperly unmounted, and you should run fsck before continuing.
8
If you decide to continue, extundelete may overwrite some of the deleted
9
files and make recovering those files impossible.  You should unmount the
10
file system and check it with fsck before using extundelete.
11
Would you like to continue? (y/n)
12
y
13
Loading filesystem metadata ... 3 groups loaded.
14
Loading journal descriptors ... 31 descriptors loaded.
15
Searching for recoverable inodes in directory dir1 ...
16
2 recoverable inodes found.
17
Looking through the directory structure for deleted files ...
18
1 recoverable inodes still lost.

Giờ dùng john với wordlists là tệp vừa khôi phục ta sẽ bẻ khóa được mật khẩu

1
john hash.txt --wordlist=../RECOVERED_FILES/dir1/dic_fr_l33t.txt
2
Using default input encoding: UTF-8
3
Loaded 1 password hash (PKZIP [32/64])
4
Will run 4 OpenMP threads
5
Press 'q' or Ctrl-C to abort, almost any other key for status
6
Cyb3rs3curit3    (end.zip/flag.gif)
7
1g 0:00:00:00 DONE (2025-06-29 15:19) 33.33g/s 1911Kp/s 1911Kc/s 1911KC/s Cont3ntions..D3activons
8
Use the "--show" option to display all of the cracked passwords reliably
9
Session completed.

Giải nén được 1 tệp flag.gif

1
unzip end.zip
2
Archive:  end.zip
3
[end.zip] flag.gif password:
4
  inflating: flag.gif

flag.gif được thay đổi liên tục theo từng frame có thể viết mã python nhưng đơn giản hơn là dùng zbarimg

1
zbarimg -q --raw flag.gif | tr -d '\n'
2
....
3
The_flag_is:1_Lik3_F0r3nS1c_4nd_y0u?