Dalam soal forensic ini, diberikan sebuah file Virtual Box Saved State. Volatility tidak mendukung format ini. Tidak ada informasi mengenai format file ini di web, jadi kita perlu membaca source code Virtual Box:
http://www.virtualbox.org/svn/vbox/trunk/src/VBox/VMM/VMMR3/SSM.cpp
Hasilnya adalah program dalam C yang memakai liblzf:
https://www.dropbox.com/sh/vtsk0ji7pqhje42/AABY57lRqinlwZpo8t9zzGYka
gcc parsvbox.c lzf_d.c
./a.out vbox.img
Saya akan menaruh filenya di github setelah dicleanup (dan jika tidak sibuk, mungkin akan saya sumbangkan kodenya ke volatility).
File-file yang dihasilkan:
vbox.img-8237A.out
vbox.img-acpi.out
vbox.img-ahci.out
vbox.img-apic.out
vbox.img-ConsoleData.out
vbox.img-cpum.out
vbox.img-DisplayData.out
vbox.img-DisplayScreenshot.out
vbox.img-e1000.out
vbox.img-em.out
vbox.img-HGCM.out
vbox.img-HWACCM.out
vbox.img-i8254.out
vbox.img-i8259.out
vbox.img-ichac97.out
vbox.img-ioapic.out
vbox.img-mc146818.out
vbox.img-mm.out
vbox.img-pci.out
vbox.img-pckbd.out
vbox.img-pdm.out
vbox.img-pdmblkcache.out
vbox.img-pgm.out
vbox.img-piix3ide.out
vbox.img-rem.out
vbox.img-selm.out
vbox.img-SSM.out
vbox.img-tm.out
vbox.img-trpm.out
vbox.img-usb-ehci.out
vbox.img-usb-ohci.out
vbox.img-vga.out
vbox.img-vmm.out
vbox.img-VMMDev.out
Saya juga membuat parser screenshot (readss.c) dan mendapatkan gambar ini, tapi ternyata tidak membantu sama sekali.
Isi memori utama ada di: vbox.img-pgm.out, melihat isi memori dengan strings, didapatkan:
ssh-copy-id 'asis_agent@asis-ctf.ir -p 2014' ssh-keygen ssh-copy-id 'asis_agent@asis-ctf.ir -p 2014' ssh-copy-id 'asis_agent@asis-ctf.ir -p 2014' ssh asis_agent@asis-ctf.ir -p 2014 ls -al 0bin.key
Key yang ditemukan adalah: 2 RSA Key, 1 EC key, 1 DSA key:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
-----BEGIN EC PRIVATE KEY-----
MHcCAQEEIC5RULOwvXYfcqZuuOBhI9TBSbRM0SEhwfUPxZsbTBi3oAoGCCqGSM49
AwEHoUQDQgAE9aWSuKzdge7XdJLSc2MzIklGeMJeTXqYhWvbW1kidli2S8g1/OLL
3+yt6YauLlUhqkRztqPNbA1xNKOlhyLX3Q==
-----END EC PRIVATE KEY-----
Semuanya tidak bisa digunakan untuk login ke server asis.
Ditemukan perintah untuk mendownload file secret.zip
wget asis-ctf.ir/56f4846d2dce6afafb35f25970b6f792/secret.zip
Tapi file ini terenkripsi. Saya stuck di sini. Berdasarkan screenshot, saya bertanya ke @factoreal di irc.asis.io, tapi ternyata tidak dijawab oleh factoreal.
Teori saya: seharusnya saya bisa login dengan ssh key yang diberikan, tapi sepertinya server mereka error. Saya terlalu lama berpikir sebelum mengirimkan email ke panitia, jadi waktu saya sudah sangat sedikit. Akhirnya saya mengirimkan email ke panitia dengan key yang saya temukan, saya mendapatkan balasan:
Hello,
great job, what you are looking on the server is this:
wyP733TE6HTlmmsjsTfwCufOanStL44kHvot/iJ7Agg=
but you are one step away from it.
thanks
_factoreal
Sayangnya di langkah ini saya stuck lagi. Setelah selesai event ASISnya dan bertanya ke IRC, ternyata orang lain (atdog) menemukan URL ini: 0bin.asis.io/paste/cXLEG4r+ (entah kenapa, saya melewatkan nURL ini walaupun sudah berkali-kali memfilter kata “asis”). Tanpa key, URL tersebut sia-sia:
Jika digabung dengan key yang diberikan oleh factoreal, maka didapat teks password:
http://0bin.asis.io/paste/cXLEG4r+#wyP733TE6HTlmmsjsTfwCufOanStL44kHvot/iJ7Agg=
Dan setelah kita unzip secret.zip, flagnya adalah:
ASIS_dab27f4eae72aa966887d80aa4cd2f0a
No comments:
Post a Comment