HTB-Hyperfiletable

Hyperfiletable

夏洛克场景

Forela 中有一位新加入者，他们已经下载了他们的入职文档，但是有人设法使用恶意附件对用户进行网络钓鱼。我们只设法为新用户提取了 MFT 记录，您是否能够对这些信息进行分类？

Task 1

题目：MFT 的 MD5 哈希值是多少？

md5sum mft.raw

答案：3730c2fedcdc3ecd9b83cbea08373226

Task 2

题目：系统上唯一用户的名称是什么？

用MFTExplorer打开mft.raw文件，在Users目录下找到Randy Savage用户

答案：Randy Savage

Task 3

题目：该用户下载的恶意 HTA 的名称是什么？

用MFTECmd工具导出csv文件

.\MFTECmd.exe -f "E:\CTF\刷题\HTB\hyperfiletable\mft.raw\mft" --csv . --csvf output.csv

查找.hta后缀

答案：Onboarding.hta

Task 4

题目：恶意 HTA 文件的下载的 ZoneId 是什么？

根据 Task 3 中的路径在 MFTExplorer 软件查找，查看文件内容

答案：3

Task 5

题目：恶意 HTA 的下载 URL 是什么？

答案：https://doc-10-8k-docs.googleusercontent.com/docs/securesc/9p3kedtu9rd1pnhecjfevm1clqmh1kc1/9mob6oj9jdbq89eegoedo0c9f3fpmrnj/1680708975000/04991425918988780232/11676194732725945250Z/1hsQhtmZJW9xZGgniME93H3mXZIV4OKgX?e=download&uuid=56e1ab75-ea1e-41b7-bf92-9432cfa8b645&nonce=u98832u1r35me&user=11676194732725945250Z&hash=j5meb42cqr57pa0ef411ja1k70jkgphq

Task 6

题目：HTA 文件的分配大小是多少？（字节）

分配大小为物理地址

答案：4096

Task 7

题目：HTA文件的实际大小是多少？（字节）

task 6中的逻辑地址，1144

Task 8

题目：用户何时下载了 powerpoint 演示文稿？

答案：05/04/2023 13:11:49

Task 9

题目：用户已经记下了他们的工作凭据，他们的密码是什么？

答案：ReallyC00lDucks2023!

Task 10

题目：C：\Users\ 目录下还剩下多少个文件？（递归方式）

询问法秒了

答案：3471