Mémoire 3/4

Catégorie: Forensic Difficulté: - Flag: CTFREI{3016_net-user-/add-admin_user-123password}

Challenge

Le fichier est trop large, il est disponible sur MEGA

Description

En parlant de document Word, il semble que le mien ait exécuté un processus... Comportement assez étrange.

Peux-tu me trouver :

Le PID du processus exécuté par Word
La commande utilisée (pas toute la chaîne, juste la commande effective et ses arguments)

Format : CTFREI{1234_ipconfig-/all}

Note : Le fichier est le même pour les 4 étapes

sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9

Solution

Ici, il faut utiliser le plugin windows.pstree, on va le coupler avec un grep pour filtrer les résultats

$ volatility3 -f memory.vmem windows.pstree | grep "WORD"

****** 5300 2560    WINWORD.EXE scan0x96035674a080  32      -       1       False   2024-09-12 10:50:09.000000      N/A     \Device\HarddiskVolume3\Program Files\Microsoft Office\root\Office16\WINWORD.EXE    "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Aramis\Documents\Portos.docm     C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

On a le processus WINWORD.EXE et son PID est le 5300. Maintenant, on va lister les processus en rapport avec ce PID toujours avec le même plugin :

$ volatility3 -f memory.vmem windows.pstree --pid 5300

Volatility 3 Framework 2.7.0
Progress:  100.00               PDB scanning finished
PID     PPID    ImageFileName   Offset(V)       Threads Handles SessionId       Wow64   CreateTime      ExitTime        Audit   Cmd     Path

568     456     wininit.exe     0x9603513ca080  1       -       0       False   2024-09-12 10:20:19.000000      N/A     \Device\HarddiskVolume3\Windows\System32\wininit.exe        -       -
* 684   568     services.exe    0x960350a5f340  6       -       0       False   2024-09-12 10:20:20.000000      N/A     \Device\HarddiskVolume3\Windows\System32\services.exe       C:\Windows\system32\services.exe        C:\Windows\system32\services.exe
** 536  684     svchost.exe     0x960351c65080  28      -       0       False   2024-09-12 10:20:25.000000      N/A     \Device\HarddiskVolume3\Windows\System32\svchost.exe        C:\Windows\system32\svchost.exe -k LocalService -p      C:\Windows\system32\svchost.exe
*** 616 536     winlogon.exe    0x960351a14080  3       -       1       False   2024-09-12 10:20:20.000000      N/A     \Device\HarddiskVolume3\Windows\System32\winlogon.exe       -       -
**** 3012       616     userinit.exe    0x9603556eb340  0       -       1       False   2024-09-12 10:22:34.000000      2024-09-12 10:23:09.000000      \Device\HarddiskVolume3\Windows\System32\userinit.exe       -       -
***** 2560      3012    explorer.exe    0x9603556ef340  71      -       1       False   2024-09-12 10:22:34.000000      N/A     \Device\HarddiskVolume3\Windows\explorer.exe        C:\Windows\Explorer.EXE C:\Windows\Explorer.EXE
****** 5300     2560    WINWORD.EXE     0x96035674a080  32      -       1       False   2024-09-12 10:50:09.000000      N/A     \Device\HarddiskVolume3\Program Files\Microsoft Office\root\Office16\WINWORD.EXE    "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Aramis\Documents\Portos.docm     C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
******* 3016    5300    cmd.exe 0x960356325340  1       -       1       False   2024-09-12 10:50:37.000000      N/A     \Device\HarddiskVolume3\Windows\System32\cmd.exe    C:\Windows\System32\cmd.exe /c net user /add admin_user 123password & pause     C:\Windows\System32\cmd.exe
******** 8120   3016    conhost.exe     0x960353fa0080  5       -       1       False   2024-09-12 10:50:38.000000      N/A     \Device\HarddiskVolume3\Windows\System32\conhost.exe        \??\C:\Windows\system32\conhost.exe 0x4 C:\Windows\system32\conhost.exe
******* 7576    5300    ai.exe  0x960356565340  11      -       1       False   2024-09-12 10:50:39.000000      N/A     \Device\HarddiskVolume3\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\Office16\ai.exe      -       -

Juste en dessous de notre processus WINWORD.EXE, on a le processus 3016 qui est une cmd.exe et on sait exactement ce qui a été exécuté, c'est ce qu'on cherchait :

C:\Windows\System32\cmd.exe /c net user /add admin_user 123password & pause

Il ne reste plus qu'à construire le flag avec les infos qu'on a récupérées.

PrécédentMémoire 2/4 SuivantMémoire 4/4

Mis à jour il y a 1 an

hashtagChallenge

hashtagDescription

hashtagSolution

Challenge

Description

Solution