🇫🇷 FCSC 2023 – Ransomémoire 0/3 – CTF Write up

By : Li_in
FCSC

Description

Vous vous prĂ©parez Ă  analyser une capture mĂ©moire et vous notez quelques informations sur la machine avant de plonger dans l’analyse :

  • nom d’utilisateur,
  • nom de la machine,
  • navigateur utilisĂ©.

Le flag est au format FCSC{<nom d'utilisateur>:<nom de la machine>:<nom du navigateur>} oĂą :

  • <nom d'utilisateur> est le nom de l’utilisateur qui utilise la machine,
  • <nom de la machine> est le nom de la machine analysĂ©e
  • <nom du navigateur> est le nom du navigateur en cours d’exĂ©cution.

Par exemple : FCSC{toto:Ordinateur-de-jojo:Firefox}.

Attention : pour cette Ă©preuve, vous n’avez que 10 tentatives de flag.

RĂ©solution

On commence par un pstree pour trouver le pid du processus explorer.exe et voir les programmes lancĂ©s par l’utilisateur connectĂ© :

~/Desktop/FCSC 2023/Ransomémoire 0 ·························· 16s    ─╮
❯ vol -f fcsc.dmp windows.pstree                                     ─╯

Volatility 3 Framework 2.4.1

PID	PPID	ImageFileName	Offset(V)	Threads	Handles	SessionId	Wow64	CreateTime	ExitTime

.......
* 3892	624	userinit.exe	0x8186813f5340	0	-	1	False	2023-04-16 21:47:17.000000 	2023-04-16 21:47:42.000000 
** 3928	3892	explorer.exe	0x818684aa0340	66	-	1	False	2023-04-16 
*** 6304	3928	SecurityHealth	0x8186885240c0	6	-	1	False	2023-04-16 21:47:34.000000 	N/A
*** 6424	3928	VBoxTray.exe	0x81868852e080	13	-	1	False	2023-04-16 21:47:34.000000 	N/A
**** 5540	6424	svchost.exe	0x818687754080	1	-	1	False	2023-04-17 17:21:18.000000 	N/A
*** 3524	3928	ProcessHacker.	0x818687fb70c0	10	-	1	False	2023-04-17 17:21:50.000000 	N/A
*** 4072	3928	brave.exe	0x818688060300	31	-	1	False	2023-04-17 17:21:31.000000 	N/A
**** 4160	4072	brave.exe	0x818687e5e080	18	-	1	False	2023-04-17 17:22:11.000000 	N/A
**** 2844	4072	brave.exe	0x818688773080	7	-	1	False	2023-04-17 17:21:44.000000 	N/A
**** 5064	4072	brave.exe	0x8186872b8300	8	-	1	False	2023-04-17 17:21:39.000000 	N/A
**** 3952	4072	brave.exe	0x818687ff6080	14	-	1	False	2023-04-17 17:21:44.000000 	N/A
**** 5500	4072	brave.exe	0x8186886980c0	15	-	1	False	2023-04-17 17:21:46.000000 	N/A
**** 4060	4072	brave.exe	0x818681344080	12	-	1	False	2023-04-17 17:21:44.000000 	N/A
7156	7048	OneDrive.exe	0x81868897e080	20	-	1	False	2023-04-16 21:48:32.000000 	N/A
.......

On en dĂ©duit dĂ©jĂ  que le navigateur en question est « Brave« . On peut ensuite rĂ©cupĂ©rer toutes les informations manquantes via les variables d’environnement du processus explorer.exe :

~/Desktop/FCSC 2023/Ransomémoire 0 ·························· 20s    ─╮
❯ vol -f fcsc.dmp windows.envars.Envars --pid 3928                   ─╯

Volatility 3 Framework 2.4.1
Progress:  100.00		PDB scanning finished                        
PID	Process	Block	Variable	Value

3928	explorer.exe	0xdb1ba0	COMPUTERNAME	DESKTOP-PI234GP
3928	explorer.exe	0xdb1ba0	PROCESSOR_ARCHITECTURE	AMD64
3928	explorer.exe	0xdb1ba0	PROCESSOR_IDENTIFIER	Intel64 Family 6 Model 158 
.....
3928	explorer.exe	0xdb1ba0	USERNAME	Admin
....

On en déduit le format du flag suivant :

FCSC{Admin:DESKTOP-PI234GP:Brave}