Mémoire 3/4
Catégorie: Forensic Difficulté: - Flag: CTFREI{3016_net-user-/add-admin_user-123password}
Challenge
Le fichier est trop large, il est disponible sur MEGA
Description
En parlant de document Word, il semble que le mien ait exécuté un processus... Comportement assez étrange.
Peux-tu me trouver :
Le PID du processus exécuté par Word
La commande utilisée (pas toute la chaîne, juste la commande effective et ses arguments)
Format : CTFREI{1234_ipconfig-/all}
Note : Le fichier est le même pour les 4 étapes
sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9
Solution
Ici, il faut utiliser le plugin windows.pstree, on va le coupler avec un grep pour filtrer les résultats
$ volatility3 -f memory.vmem windows.pstree | grep "WORD"
****** 5300 2560 WINWORD.EXE scan0x96035674a080 32 - 1 False 2024-09-12 10:50:09.000000 N/A \Device\HarddiskVolume3\Program Files\Microsoft Office\root\Office16\WINWORD.EXE "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Aramis\Documents\Portos.docm C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXEOn a le processus WINWORD.EXE et son PID est le 5300. Maintenant, on va lister les processus en rapport avec ce PID toujours avec le même plugin :
$ volatility3 -f memory.vmem windows.pstree --pid 5300
Volatility 3 Framework 2.7.0
Progress: 100.00 PDB scanning finished
PID PPID ImageFileName Offset(V) Threads Handles SessionId Wow64 CreateTime ExitTime Audit Cmd Path
568 456 wininit.exe 0x9603513ca080 1 - 0 False 2024-09-12 10:20:19.000000 N/A \Device\HarddiskVolume3\Windows\System32\wininit.exe - -
* 684 568 services.exe 0x960350a5f340 6 - 0 False 2024-09-12 10:20:20.000000 N/A \Device\HarddiskVolume3\Windows\System32\services.exe C:\Windows\system32\services.exe C:\Windows\system32\services.exe
** 536 684 svchost.exe 0x960351c65080 28 - 0 False 2024-09-12 10:20:25.000000 N/A \Device\HarddiskVolume3\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe -k LocalService -p C:\Windows\system32\svchost.exe
*** 616 536 winlogon.exe 0x960351a14080 3 - 1 False 2024-09-12 10:20:20.000000 N/A \Device\HarddiskVolume3\Windows\System32\winlogon.exe - -
**** 3012 616 userinit.exe 0x9603556eb340 0 - 1 False 2024-09-12 10:22:34.000000 2024-09-12 10:23:09.000000 \Device\HarddiskVolume3\Windows\System32\userinit.exe - -
***** 2560 3012 explorer.exe 0x9603556ef340 71 - 1 False 2024-09-12 10:22:34.000000 N/A \Device\HarddiskVolume3\Windows\explorer.exe C:\Windows\Explorer.EXE C:\Windows\Explorer.EXE
****** 5300 2560 WINWORD.EXE 0x96035674a080 32 - 1 False 2024-09-12 10:50:09.000000 N/A \Device\HarddiskVolume3\Program Files\Microsoft Office\root\Office16\WINWORD.EXE "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Aramis\Documents\Portos.docm C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
******* 3016 5300 cmd.exe 0x960356325340 1 - 1 False 2024-09-12 10:50:37.000000 N/A \Device\HarddiskVolume3\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c net user /add admin_user 123password & pause C:\Windows\System32\cmd.exe
******** 8120 3016 conhost.exe 0x960353fa0080 5 - 1 False 2024-09-12 10:50:38.000000 N/A \Device\HarddiskVolume3\Windows\System32\conhost.exe \??\C:\Windows\system32\conhost.exe 0x4 C:\Windows\system32\conhost.exe
******* 7576 5300 ai.exe 0x960356565340 11 - 1 False 2024-09-12 10:50:39.000000 N/A \Device\HarddiskVolume3\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\Office16\ai.exe - -Juste en dessous de notre processus WINWORD.EXE, on a le processus 3016 qui est une cmd.exe et on sait exactement ce qui a été exécuté, c'est ce qu'on cherchait :
C:\Windows\System32\cmd.exe /c net user /add admin_user 123password & pauseIl ne reste plus qu'à construire le flag avec les infos qu'on a récupérées.
Dernière mise à jour
Cet article vous a-t-il été utile ?