Bora

Então, devido alguns pedidos vou mostrar a resolução desse desafio que foi proposto na "Dumont Fest CTF". Ele é classificado como forense, então bora!

Primeiramente, temos um arquivo "easy.rar" para baixar, depois do download, a extração nos mostra que tem um arquivo "memdump.mem".

Logo já pesquisei o nome do arquivo no Google e tenho umas respostas interessantes. Parece que esse arquivo é uma "imagem" da memória RAM, ou seja, dentro do arquivo tem várias informações dos processos que estavam rodando no momento em que foi feito esse "dump" da memória. Mais informações sobre essa técnica podem ser encontradas aqui:

Digital Forensics, Part 2: Live Memory Acquisition and Analysis

Nesse mesmo artigo, já mostra uma ferramenta que faz a análise desse arquivo, cujo nome é "Volatility". No Kali Linux eu creio que ela já vem instalada, mas como estou usando Manjaro, instalei pelo Github deles:

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

Naquele artigo que passei, tem um guia de como usar a ferramenta, então vou seguindo os passos dele mesmo. Primeiramente temos que pegar o "perfil" da imagem, isso vai nos ajudar a identificar o Sistema Operacional, endereços de memória, etc. Para isso, é usada a flag "imageinfo" da ferramenta:

A ferramenta identificou algumas informações sobre o computador, mas o que vai ser mais importante aqui é o "profile", ou seja, o Sistema Operacional (Win7SP1x64).

Bom, agora começa uma saga em busca de informações, primeiramente busco por processos, e identificar alguns dos que podem trazer informações úteis:

• firefox.exe

• FTK Imager.exe

• explorer.exe

Temos um navegador aberto, o "explorador de arquivos", e pesquisando sobre esse "FTK Imager", vejo que foi ele o programa responsável pelo dump.

Eu não vou colocar aqui todas as minhas tentativas, até porque são muitos plugins que o Volatility tem, e acredite, tentei quase todos :)

Mas acho um em específico, vejo que tem potencial de me trazer informações úteis:

(para ver a lista de plugins, é só rodar a ferramenta com a flag "-h")

Parece que esse é um plugin que "reconstrói" o histórico e cache do "Internet Explorer"

Uau, temos um pequeno histórico do usuário "Desafio". Claro que não cabia tudo no print, mas tem muito mais coisa. Analisando um pouco mais o que foi acessado, percebo uma URL que me chama a atenção:

Esse "riseup" é tipo um editor de texto online, no qual você pode deixar públicas ou privadas as suas anotações. Então acessando a URL, temos algumas anotações e algo bem interessante:

Me parece um base32, então colocamos no Cyberchef e...

Agora temos um base64, logo...

E veio a flag!!!!!

Enfim, foi isso pessoal, espero que tenham gostado. Parabéns aos criadores do CTF, aprendi muito, especialmente com esse! Até a próxima! 👋🏻