MemLabs Lab 1 - Beginner's Luck

문제 설명

여동생의 컴퓨터가 고장 났어요. 다행히 이 메모리 덤프를 복구할 수 있었죠. 언니의 중요한 파일을 시스템에서 모두 가져오는 게 당신의 임무예요. 기억하기로는 갑자기 뭔가가 실행되고 있는 검은색 창이 떴어요. 컴퓨터가 고장 났을 때, 여동생은 뭔가를 그리려고 하고 있었어요. 그게 고장 당시에 대한 기억의 전부예요.

참고사항 : 이 챌린지는 3개의 플래그로 구성되어 있습니다.

 

imageinfo 플러그인을 이용하여 가장 먼저 운영 체제를 식별을 하였습니다.

python vol.py -f MemoryDump_Lab1.raw imageinfo

 

pslist 플러그인을 사용하여 프로세스를 확인했습니다. cmd.exe, mspaint.exe, WinRAR.exe 프로세스가 수상한 것을 알 수 있습니다.

python vol.py -f MemoryDump_Lab1.raw --profile Win7SP1x64 pslist

 

consoles 플러그인을 통해 cmd.exe 출력되는 ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0= base64 문자열을 확인할 수 있습니다.

 

 

base64 문자열을 디코딩하면 아래와 같이 flag{th1s_1s_th3_1st_st4g3!!} 값을 얻을 수 있습니다.

 

문제를 보면 사용자가 무언가를 그리고 있었음을 알 수 있어 mspaint.exe 그림판 프로세스를 덤프를 추출하였습니다.

python vol.py -f MemoryDump_Lab1.raw --profile Win7SP1x64 memdump -p 2424 -D dump

 

KaliLinux에서 포토샵 대용으로 사용하는 프로그램 gimp 설치를 진행하였습니다.

 

mspaint 덤프파일의 확장자를 gimp 프로그램에 맞게 dump -> data로 수정하였습니다.

 

gimp 2424 명령어를 입력하면 아래와 같이 파일이 아무것도 보이지 않습니다.

 

RGBA8 bit, Offset 6774541, Width 1230 Height 10000으로 설정해서 이미지를 조금만 내리면 아래와 같은 이미지를 확인할 수 있습니다.

 

[View] - [Flip&Rotat] - [Flip Vertically] 설정하면 아래와 같이 쉽게 Flag{G00d_Boy_good_girL}을 확인할 수 있습니다.

 

cmdline 플러그인을 WinRAR 명령줄을 확인할 수 있습니다.

python vol.py -f MemoryDump_Lab1.raw --profile Win7SP1x64 cmdline | findstr WinRAR

 

압축파일 이름이 Important 중요해 보여 filescan 플러그인을 통해 메모리의 물리적 오프셋 정보를 확인하였습니다.

python vol.py -f MemoryDump_Lab1.raw --profile Win7SP1x64 filescan | findstr Important.rar

 

dumpfiles 플러그인을 통해 0x000000003fa3ebc0 오프셋을 추출하였습니다.

python vol.py -f MemoryDump_Lab1.raw --profile Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 D dump

 

덤프파일의 확장자를 .rar 수정하여 압축 풀기를 시도하였지만 비밀번호가 필요하는 것을 알 수 있습니다.

 

플러그인 hashdump를 이용하면 아래와 같이 계정들에 대한 Hash 값을 알 수 있습니다.

python vol.py -f MemoryDump_Lab1.raw --profile Win7SP1x64 hashdump

 

 문제를 보면 여동생이라는 힌트가 있어 Alissa Simpson 비밀번호 해시 값을 대문자로 입력하였습니다.

 

파일의 압축을 풀면 flag{w3ll_3rd_stage_was_easy} 값을 알 수 있습니다.