
OtterCTF 2018 取证系列 WP
[OtterCTF 2018] 取证系列#
1 |
|

What the password?#

1 |
|

MortyIsReallyAnOtter
NSSCTF{MortyIsReallyAnOtter}
General Info#

1 |
|

主机名会储存在\REGISTRY\MACHINE\SYSTEM
中的ControlSet001\Control\ComputerName\ComputerName
条目中
1 |
|

WIN-LO6FAF3DTFE
1 |
|

192.168.202.131
NSSCTF{WIN-LO6FAF3DTFE-192.168.202.131}
Play Time#

分析一下进程
1 |
|

提示是old videogames,找到一个进程LunarMS.exe
应该是一个日本古老游戏露娜

LunarMS
1 |
|

找到这个游戏对应的ip:77.102.199.102
NSSCTF{LunarMS-77.102.199.102}
Silly Rick#
提示:He always copy and paste the password so he will not get it wrong.
总是复制粘贴,所以看看他的剪贴板
1 |
|

M@il_Pr0vid0rs
NSSCTF{M@il_Pr0vid0rs}
Name Game#

之前看到过了那个游戏的进程,dump下来
1 |
|

使用linux内置字符串查找
1 |
|
string使用参数:-C<显示行数> 或 --context=<显示行数>或-<显示行数> : 除了显示符合样式的那一行之外,并显示该行之前后的内容。


在其之后找到了一个可疑的字符串:0tt3r8r33z3
NSSCTF{0tt3r8r33z3}
Hide And Seek#

查看进程树
1 |
|

vmware-tray.exe
是Rick And Morty
的子进程,十分可疑
同时检测和分析内存中的恶意软件特征也可以找到这个文件
1 |
|

NSSCTF{vmware-tray.exe}
Name Game 2#

使用游戏进程dump下来的文件
0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2}
,只需要找5A 0C 00 00
并且前面对应的地方
扔进010搜索

M0rtyL0L
NSSCTF{M0rtyL0L}
Path To Glory#

刚刚进行检测和分析内存中的恶意软件特征时也看见了这个文件

这是一个种子传输的程序,猜测古老获取病毒的方式是种子传输
找到这个恶意文件的父进程的下载路径

把这几个文件都dump下来看看

再寻找一下可疑信息

一个可疑的字符串:M3an_T0rren7_4_R!cke
NSSCTF{M3an_T0rren7_4_R!ck}
注意!提交flag的时候没有最后面的e!
Bit 4 Bit#

把那个可疑进程dump出来
1 |
|

1 |
|

看看文件成分

这个病毒是.NET
写的
使用dnSpy
打开

在隐藏资源的Form3找到了地址
1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M
NSSCTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}
Graphic’s For The Weak#

图片有点可疑,打开之前dump下来的文件
在里面发现了疑似png文件的格式

直接binwalk解了



CTF{S0_Just_M0v3_Socy}
NSSCTF{S0_Just_M0v3_Socy}
Path To Glory 2#

刚刚那个病毒是通过种子下载的,加之之前看到了很多chrome进程,所以从chrome记录入手
1 |
|

把得到的信息dump下来
1 |
|


这是一个数据库文件

种子是在mail.com里面下载的,所以过滤相关信息
1 |
|
1 |
|


这个看起来像是邮箱地址,附近应该还有东西,过滤的范围应该更大一些
1 |
|


这就是flag*(这谁找得到啊)*
Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in
NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}
Recovery#

找出密码是什么,依然用dnSpy打开勒索病毒查看伪代码

密码组成有一部分为“主机名”+“-”+“用户名”+“ ”
之前得到的主机名WIN-LO6FAF3DTFE
查看用户名
1 |
|

Rick
得知密码一部分为 WIN-LO6FAF3DTFE-Rick
筛选
1 |
|

密码为:WIN-LO6FAF3DTFE-Rick aDOBofVYUNVnmp7
NSSCTF{aDOBofVYUNVnmp7}
Closure#

被加密的应该就是flag文件了,让我们找找看它在哪里
1 |
|

把它dump下来
1 |
|

把它改个名字


网上找到这个勒索病毒Hidden Tear

在网上可以找到解密程序HiddenTearDecrypter

在解密之前,需要移除文件后所有的十六进制 00,并修改文件的后缀为 .locked,放入一个文件夹里面



解密得到了原文件

修改后缀名

得到了flag!

NSSCTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}