Reto Forense – HTB: Export

 

Empezamos extrayendo el archivo: WIN-LQS146OE2S1-20201027-142607.raw

La primera impresión es que tenemos un volcado de memoria, por lo que sacamos el volatility a la palestra y probamos a ver si es posible determinar el perfil del archivo.

Parece que la intuición funciona, tenemos un perfil ganador: Win7SP1x64

Siguiente paso, buscar procesos que se estuvieran ejecutando durante el volcado de memoria y que mejor manera de hacerlo que mediante los módulos: pslist y pstree. Personalmente y a día de hoy me gusta más el segundo.

Me llama la atención los siguientes procesos:

            1.- DumpIt.exe (Pid: 2004 y PPid: 808)

            2.- Cmd.exe (Pid: 1640 y PPid: 808)

Pero siempre que veo en ejecución el proceso: cmd.exe, mi sentido arácnido me alerta, por lo que  paso a comprobar lo que realmente se está ejecutando por consola, para lo cual utilizo el módulo: cmdscan

Al ejecutarlo, se obtiene:

Bueno, bueno, ¡un intento de descarga que si se realizará con éxito se almacenaría en una ruta muy utilizada para ganar persistencia!

Pero lo más curioso es que la URI de la URL tiene formato en base64, probemos a decodificarla.

¡Premio!

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia

 

Reto Forense – HTB: S3cr3t_r3cip3

 

Al abrir el archivo comprimido vemos dos archivos:

1.- rsa_private.key

2.- how_to_make_meth.txt

Como es obvio el archivo de texto no contiene la flag que buscamos, pero se puede intuir que el archivo de texto tiene que ser descifrado mediante la clave privada.

Pero, ¡siempre hay un pero!, si abrimos el archivo  con extensión “.key” podemos ver que la clave no se encuentra correctamente formada.

 

NOTA: Las claves de tipo RSA pueden estar codificadas de 3 maneras:   

A. Formato de codificación binario en DER / Binary DER-encoded format, también llamado: ASN.1 VER.encoded

B.    Formato  PEM o Base64.

El formato PEM (Privacy-Enhanced Mail) es un formato para almacenamiento y envío de claves criptográficas, certificados y otros datos basados en el conjunto IETF 1993

 

Base 64 es ampliamente conocido, que más se puede decir de él. 

 

 C.      Formato XML

-----------------------------------------------------------------------------------------------------------------------------------------------------------

Por lo tanto, la clave de este reto se encuentra en pasar la clave privada RSA a un formato correcto.

Para ello tiramos de la herramienta online “ciberchef” y, aplicamos las siguientes operaciones: PEM to HEX > From HEX (delimitador: None) > Raw ínflate

 

Con ello obtenemos una estructura que se asemeja a algo conocido

Ahora sólo falta probar a descifrar el archivo: how_to_make_meth.txt, mediante el siguiente comando:

¡Parece que tenemos flag!

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia