UMDCTF Jarred-1

lUbuntu 메모리 포렌식 문제다.

문제 파일로는 메모리, System.map, dwarf가 주어지는데 시스템맵이랑 드워프를 사용해 프로파일을 만들어야 한다.

최근에 Volatility 3버전 베타가 나왔길래 써볼라 했더니 뭔지도 모르겠고 wiki에서는 symbol머시기 머 이렇게 저렇게 하라는데 모르겠고 그냥 시간 버리다가 그냥 2.6.1로 하기로 했다.

 

https://github.com/volatilityfoundation/volatility/wiki/Linux

volatilityfoundation/volatility

위 링크대로 zip으로 압축한다음에 volatility/plugins/overlays/linux/에 넣어주면된다.(이름 상관 x)

 

그러고 vol.py --info 했을때 ~lubuntux64~ 나오면 성공

# python vol.py --info | grep lubuntu
Volatility Foundation Volatility Framework 2.6.1
Linuxlubuntux64       - A Profile for Linux lubuntu x64

# python vol.py -f lubuntu-Snapshot2.vmem --profile=Linuxlubuntux64 linux_bash
Volatility Foundation Volatility Framework 2.6.1
Pid      Name                 Command Time                   Command
-------- -------------------- ------------------------------ -------
    1825 bash                 2019-11-13 03:59:04 UTC+0000   how do I linux?
    1825 bash                 2019-11-13 03:59:21 UTC+0000   UMDCTF-{falskdfklashdkjfhaskljfhakljsdhflkjasdhflkashdk}
    1825 bash                 2019-11-13 04:00:22 UTC+0000   echo -n "VU1EQ1RGLXtKYXJyZWRfU2gwdWxEX0hhVjNfTDBjazNkX0gxc19DT21wdTdlcn0=" | base64 -d | sha256sum
    1825 bash                 2019-11-13 04:01:32 UTC+0000   UMDCTF-{STRINgz_W0n't_Get_Th3_FLVG}

막 사이에 flag같아 보이지만 fake고 가운데가 진짜다.

 

# echo VU1EQ1RGLXtKYXJyZWRfU2gwdWxEX0hhVjNfTDBjazNkX0gxc19DT21wdTdlcn0= | base64 -d
UMDCTF-{Jarred_Sh0ulD_HaV3_L0ck3d_H1s_COmpu7er}