En este reto de HTB, lo primero que nos encontramos es un archivo con magic number: regf, es decir, un archivo de registro de Windows incompleto. Por lo tanto, ni podemos leerlo abiertamente con un editor hexadecimal ni con un intérprete ni mucho menos podremos leerlo directamente abriéndolo con el registro de Windows.
Pero eso no es problema, buscando en Internet no sólo encontramos la estructura de este tipo de archivo: https://www.taksati.org/regf/, sino también un parser de dicho archivos, así como ayuda para su uso:
· https://cyberforensicator.com/2018/01/13/carving-fragmented-registry-files/
· https://dfir.ru/tools/
· https://github.com/msuhanov/yarp
Así que, instalamos la herramienta: yarp, y lanzamos el comando: yarp-print, para poder leer el contenido del archivo.
Para una mejor inspección, salvamos el contenido en un archivo mediante el comando: yarp-print <fichero> >> <fichero a almacenar>
Una vez obtenido lo que buscamos, y sabiendo que las flag de HTB son del estilo: HTB{….}, y que a la gente que pone los retos le gusta sobremanera la codificación en base64, buscamos dentro del archivo las cadenas en base64 que comiencen por: SFRC = HTB.
Al hacerlo encontramos una cadena:
DE INTERES: la cadena pertenece al nombre de un archivo, que será ejecutado siempre que el sistema se inicie, por estar dentro de: Software\Microsoft\Windows\CurrentVersion\Run
Si decodificamos dicha cadena obtenemos:
Parece que la intuición no ha fallado.
En cualquier caso…
Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia.
No hay comentarios:
Publicar un comentario