Writeup Darkcon Forensic Figuring_out_the_past

Curhat Dulu

Pengalaman pertama ikut event di CTFTime disini saya bermain bersama tim CCUG kesan pesannya wadaw gak bisa diungkapkan pake kata harus pake mata owkdowkdow

Figuring Out The Past

Forensics/Figuring Out The Past
White_Wolf
20 solves / 488 points
==========================================================================
After an accident Mr.wolf lost his memory and he is seeking help from you. He is not able to remember his past secret, can you help him figuring out the past mystery ? 
==========================================================================

Berisikan file memdump.mem.tar.gz langsung aja kita extract dengan 7z x memdump.mem.tar.gz sampai menjadi memdump.mem

kemudian kita cari profile dari file dump volatility -f memdump.mem imageinfo

INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418

kemudian kita dump file dump tersebut ke folder dump || volatility -f memdump.mem –profile=Win7SP0x64 dumpfiles -r Temp -D dump/

file.1676.0xfffffa80038a19e0.dat: data
file.1676.0xfffffa80041b7730.dat: Internet Explorer cache file version Ver 5.2
file.1980.0xfffffa8004356f10.dat: Internet Explorer cache file version Ver 5.2
file.956.0xfffffa8001461180.dat:  data
file.956.0xfffffa8001489840.dat:  data
file.956.0xfffffa800394b970.dat:  data
file.None.0xfffffa8001d78770.dat: ASCII text, with no line terminators

muncul lah isi dari dump tersebut, setelah di buka satu persatu pada file file.956.0xfffffa8001489840.dat berisi seperti berikut

�S��Bi�+00�`a�https://defuse.ca/b/O3olbxzZ5VZzpEtSYArI21HDefuse Security's Encrypted Pastebin����>$���� i3%�����hov�S��Bi�+00�`a�https://defuse.ca/b/O3olbxzZ5VZzpEtSYArI21����*https://defuse.ca/b/O3olbxzZ5VZzpEtSYArI21����*https://defuse.ca/b/O3olbxzZ5VZzpEtSYArI21
                                                  ����*https://defuse.ca/b/O3olbxzZ5VZzpEtSYArI21 ����https:���ega.nz/file/ek0DzIiY
��ep
    ���.mostsecuredpasswordintheworldyoucantguessitbro�5'���no�5�Y
                                                                  ����������

setelah disimpulkan terdapat url berikut https://defuse.ca/b/O3olbxzZ5VZzpEtSYArI21 https://mega.nz/file/ek0DzIiY serta text pada file file.None.0xfffffa8001d78770.dat

I have to delete my secret files for keeping my secrets safe

Dari hasil diatas dapat diketahui bahwa, di link web defuse terdapat sebuah text password dan link mega di beri password untuk mengaksesnya namun password didefuse bukan lah password nya, dan satu klue kemungkinan adalah password mega tersebut tapi sudah dihapus, maka dari itu cari passwordnya

sesuai link berikut dan rekomendasi dari temen menggunakan mftparser dan contoh cheatseet dari teman mengenai mftparser contoh cheatseet || langsung aja eksekusi dengan command berikut volatility -f memdump.mem –profile=Win7SP0x64 mftparser > output

lalu kita buka file output dengan text editor biar lebih mudah, Karna mencari file yang dihapus maka cari saja file yang ada di RECYCLEBIN dan berikut adalah file yang berisi password mega di RECYBLEBIN

2021-02-17 16:39:50 UTC+0000 2021-02-17 17:20:17 UTC+0000   2021-02-17 17:20:17 UTC+0000   2021-02-17 16:39:50 UTC+0000   $Recycle.Bin\S-1-5-~1\$RCBSK53.txt

$OBJECT_ID
Object ID: 2cbfdb49-5c71-eb11-a175-080027ed5fa1
Birth Volume ID: 80000000-4800-0000-0000-180000000100
Birth Object ID: 2b000000-1800-0000-5542-3839544d6175
Birth Domain ID: 45317871-5547-7147-316b-485662654773

$DATA
0000000000: 55 42 38 39 54 4d 61 75 45 31 78 71 55 47 71 47   UB89TMauE1xqUGqG
0000000010: 31 6b 48 56 62 65 47 73 31 75 65 31 7a 78 75 4a   1kHVbeGs1ue1zxuJ
0000000020: 6a 6f 31 59 4f 71 62 4b 49 6e 41                  jo1YOqbKInA

Berikut password mega nya UB89TMauE1xqUGqG1kHVbeGs1ue1zxuJjo1YOqbKInA

lalu kita masukan password dari web Defuse mostsecuredpasswordintheworldyoucantguessitbro

Dan berikut flag yang didapat

darkCON{y0u_sCan_still_Read_Deleted_files}

NOTE

Ihiwww disuruh pamer scoreboard nih ama abang ini Abang abangan CCUG