Unleash the Beast!

CTFなどのメモに使います

SEC-T CTF 2018 - Batou(Misc)

一応時間の許す限りPCに向かうようにはしていたんですが、なかなかフラグを取れない日々が続いていました。今回、久々に自力でフラグゲットできてスッキリ。

 f:id:imurasheen:20180915070410p:plain

 

We manage to collect a dump from Batou's computer. Try to find info/notes that can help us

どうやらダンプファイルとのことなのでVolatility問題かな。

問題文から察するに、メモ帳(notepad)がキーになるかな、と想像しながら解析へ。

 

まずVolatilityでimageinfoコマンドをたたくと、Win7SP1x64のイメージと判明。


続いてpslistコマンド、pstreeコマンドでプロセスリストを取得。

メモ帳のプロセスが存在するが、プロセスのダンプなどを取ってみてもフラグは見えない。
psscanコマンドを実行してみると、通常のnotepad以外にnotepad++.exeというプロセスが動作していたことが分かる。
(ただしダンプ取得した時点では終了しているプロセス)

***********************************
> volatility.exe --tz=Asia/Tokyo --profile=Win7SP1x64 -f "D:\ダウンロード\batou" psscan
・・・・・
0x000000003febdb30 notepad++.exe 1568 1720 0x0000000005f4c000 2018-09-11 13:16:39 JST+0900 2018-09-11 13:16:48 JST+0900
・・・・・
***********************************

notepad++について調べてみると、

「Notepad++」オープンソースで開発されているプログラマー向けのテキストエディター - 窓の杜

編集中のドキュメントを保存せずに「Notepad++」を終了すると、その状態がスナップショットして保存され、次回起動時にスナップショットからドキュメントの状態を復元してくれる。」

この機能あたりが臭い。何か自動保存ファイルが残るのではなかろうか。

 

filescanコマンドで、notepad++.exeに関連したファイルが無いか探してみる
2つほど怪しいファイルが見つかった。

***********************************
> volatility.exe --tz=Asia/Tokyo --profile=Win7SP1x64 -f "D:\ダウンロード\batou" filescan
・・・・・
0x000000003fe9c930 16 0 R--rw- \Device\HarddiskVolume2\Users\Batou\AppData\Roaming\Notepad++\backup\new 2@2018-09-10_203737
0x000000003feacbc0 3 0 R--r-d \Device\HarddiskVolume2\Windows\SysWOW64\WindowsCodecs.dll
0x000000003fead410 16 0 R--rw- \Device\HarddiskVolume2\Users\Batou\AppData\Roaming\Notepad++\backup\new 1@2018-09-10_202915
・・・・・
***********************************

dumpfilesコマンドで、上記2ファイルのアドレスを指定してダンプしてみる。

***********************************
> volatility.exe --tz=Asia/Tokyo --profile=Win7SP1x64 -f "D:\ダウンロード\batou" dumpfiles -Q 0x000000003fe9c930 -D "D:\ダウンロード\batou_Output\dumpfiles"
> volatility.exe --tz=Asia/Tokyo --profile=Win7SP1x64 -f "D:\ダウンロード\batou" dumpfiles -Q 0x000000003fead410 -D "D:\ダウンロード\batou_Output\dumpfiles"
***********************************

後者は中身にemptyと記載されているだけだったが、前者の内容は以下

***********************************
53 45
43 54 7b
34 6c 6c 5f 79 6f 75 72 5f 4e 30 74 33 73 5f 34 72 33 5f 62 33 6c 30 6e 67 5f 74 30 5f 75 35
7d
***********************************

フラグは SECT{4ll_your_N0t3s_4r3_b3l0ng_t0_u5}★