[TryHackMe] Advent of Cyber ​​2, Day 21 - Walkthrough -

이 논문에서는 TryHackMe에서 제공하는 'Advent of Cyber ​​2
"Advent of Cyber ​​2"는 "free room"(무료)에서 제공됩니다. 구독 없이 가상 머신을 "배포(Deploy)"할 수 있습니다.

「Advent of Cyber ​​2」의 Walkthrough 인덱스를 「 [TryHackMe] Advent of Cyber ​​2에 참여해 보았습니다. 」에서 공개했습니다.

[Day 21] Blue Teaming: Time for some ELForensics



스토리



"little helpers"중 한 명이 워크 스테이션에 로그인하면 데이터베이스의 커넥터 파일이 교체되었음을 알게되어 장난 목록을 찾을 수 없습니다. 또한 데이터베이스 커넥터 파일을 실행할 때 파일이 다른 위치로 이동되었다는 메시지가 표시되었습니다.

엘프 McEager는 알림을 받고 데이터베이스 커넥터 파일을 찾기 위해 조각을 결합합니다.

작업



법의학과 같은 조사 기술을 사용하여 데이터베이스의 커넥터 파일이 숨겨진 위치를 찾습니다.

Day 21 - #1.



Read the contents of the text file within the Documents folder. What is the file hash for db.exe?
CMD , PowerShell 의 각각에서 조사해 보겠습니다.

명령 프롬프트에서 텍스트 파일과 같은 내용을 화면에 표시하려면 TYPE 명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>type "db file hash.txt"
Filename:       db.exe
MD5 Hash:       5966{BLOCKED}E3A1

PowerShell에서는 Get-Content cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Content -Path '.\db file hash.txt'
Filename:       db.exe
MD5 Hash:       5966{BLOCKED}E3A1

Day 21 - #2.



What is the file hash of the mysterious executable within the Documents folder?

명령 프롬프트에서 파일의 해시 값을 계산하려면 CertUtil 명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>CertUtil -hashfile deebee.exe md5
MD5 hash of deebee.exe:
5f03{BLOCKED}09f0
CertUtil: -hashfile command completed successfully.

PowerShell에서는 Get-FileHash cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-FileHash -Algorithm MD5 .\deebee.exe

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             5F03{BLOCKED}09F0                                       C:\Users\littlehelper\Documen...

Day 21 - #3.



Using Strings find the hidden flag within the executable?

Windows Sysinternals의 "Strings.exe"유틸리티를 사용하여 바이너리에 포함된 문자열을 검사할 수 있습니다.
또한 findstr 명령과 결합하면 정규식을 사용하여 유연한 문자열 검색을 수행할 수 있습니다.
c:\Tools>strings64.exe C:\Users\littlehelper\Documents\deebee.exe | findstr THM*
THM{f618{BLOCKED}b6f9}

PowerShell에서는 Select-String cmdlet 및 -Pattern 옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Select-String -Path .\deebee.exe -Pattern 'THM*'

의도한 문자열만 추출하려면 -Pattern 옵션을 지정하는 방법에 궁리가 필요합니다.


Day 21 - #4.



What is the flag that is displayed when you run the database connector file?

NTFS 파일 시스템에는 "대체 데이터 스트림(ADS: Alternate Data Stream)"이라는 기능이 있습니다.
명령 프롬프트에서 대체 데이터 스트림에 대한 정보를 표시하려면 dir 명령의 /r 옵션을 사용할 수 있습니다.
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Users\littlehelper\Documents>dir /r
 Volume in drive C has no label.
 Volume Serial Number is C2ED-B403

 Directory of C:\Users\littlehelper\Documents

11/23/2020  04:12 PM    <DIR>          .
11/23/2020  04:12 PM    <DIR>          ..
11/23/2020  11:21 AM                63 db file hash.txt
11/23/2020  11:22 AM             5,632 deebee.exe
                                 6,144 deebee.exe:hidedb:$DATA
               2 File(s)          5,695 bytes
               2 Dir(s)   4,928,839,680 bytes free

PowerShell에서는 Get-Item cmdlet 및 -Stream 옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Item .\deebee.exe -Stream *


PSPath        : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe::$DATA
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName   : deebee.exe::$DATA
PSDrive       : C
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : C:\Users\littlehelper\Documents\deebee.exe
Stream        : :$DATA
Length        : 5632

PSPath        : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe:hidedb
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName   : deebee.exe:hidedb
PSDrive       : C
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : C:\Users\littlehelper\Documents\deebee.exe
Stream        : hidedb
Length        : 6144

대체 데이터 스트림에 추가된 실행 파일을 시작하려면 wmic.exe(Windows Management Instrumentation Command Line) 명령줄 도구를 사용할 수 있습니다.
명령 구문은 다음과 같습니다.
PS C:\Users\littlehelper\Documents> wmic process call create $(Resolve-Path .\deebee.exe:hidedb)
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
        ProcessId = 4804;
        ReturnValue = 0;
};



이것으로, 21일째의 미션이 종료입니다.

참고 정보


  • @IT, "Windows PowerShell 기본 Tips(6):【 Get-Content 】 cmdlet――파일의 내용을 참조한다 "
  • @IT, "Tech TIPS: Windows에서 MD5/SHA-1/SHA-256 해시값을 계산하여 파일의 동일성을 확인한다 "
  • @IT, "Tech TIPS: Windows findstr에서 정규식 검색 "
  • @IT, "Windows PowerShell 기본 Tips(3):【 Select-String 】 cmdlet――파일로부터 텍스트(문자열)를 검색한다 "
  • @IT, "Tech TIPS: dir 및 PowerShell에서 NTFS에 대한 대체 데이터 스트림 정보 표시 "
  • 좋은 웹페이지 즐겨찾기