메모리 포렌식 CTF 4

 

 

 

 

 

vol.exe -f 4.vmss imageinfo

(너무오래걸린다..)

 

 

 

 

vol.exe -f 4.vmss --profile=Win2012R2x64 pstree

 

■메모리 포렌식 CTF 4

▲ IIS 서버에서 실행되는 웹쉘 파일 이름과 웹쉘 코드를 찾으시오

- profile=Win2012R2x64

 

엄청나게 많이나오게되고

 

- IIS 서버의 실행파일은 w3wp.exe다. 여러 프로세스 중 cmd를 자식으로 가지는

5492프로세스가 의심스럽다. 해당 프로세스가 cmd를 열어서 어떤 악성 명령어를

실행하려는 의도가 있을 가능성이 크기 때문이다.

 

5492 pid 를 가진 w3wp.exe는 자식을 여러가지를 가졌기때문에 의심스럽습니다.

(net.exe까지 자식)

 

 

iis는 윈도우버전 아파치 라고 생각을 하면된다 w3wp.exe는 여러 개 떠있는게 정상이라고합니다.

 

 

 

 

 

vol.exe -f 4.vmss --profile=Win2012R2x64 userassist

(커맨드창을 실행했기떄문에 userassist를 해봅니다

너무오래걸려서 패스)

 

 

 

 

 

vol.exe -f 4.vmss --profile=Win2012R2x64 malfind -p 5492

 

 

 

 

 

 

vol.exe -f 4.vmss --profile=Win2012R2x64 memdump -p 5492 --dump-dir=./

(하지말기 용량이너무크다. 오래걸린다 ㅜㅜ)

 

 

vol.exe -f 4.vmss --profile=Win2012R2x64 memdump -p 9248 --dump-dir=./

(5492의 첫번째 자식을 덤프를 뜹니다. 9248 이거는 그나마 빨리나온다) 

 

strings.exe 9248.dmp > 3048.txt

 

- 5492가 사용하는 모든 메모리 공간을 dump하면 시간이 매우 오래 걸리므로, 자식

프로세스인 9248만 dump -> string 추출(sublime text로 open)

5492의 첫번째 자식

 

 

 

 

- IIS의 웹페이지 확장자는 asp, aspx 이므로 관련 내용을 검색하면 시간이 매우 오래

걸린다. 문제에 웹셀이라 했으므로 웹쉘과 관련된 키워드(eval)로 검색하면

error1.aspx가 base64로 난독화된 웹쉘임을 알 수 있다.

 

 

iis는 기본적으로 asp 확장자를 가지고있다고 알수가있습니다.

 

 

 

 

여기를 잘보면 frombase64를 인코딩 해놨으니까

 

디코딩을 해주면됩니다. 

밑줄친 Y20gL20qI부터 다복사를해줘서 디코딩을 하게되면

 

 

 

 

 

 

net use는 네트워크 공유폴더 연결ㄹ하는 명령어입니다

 

net use \\10.1.1.2\c$&echo [S]&cd&echo [E]

        

net use X: \\[접근할서버의 ip]\[접근해야될 디렉토리혹은 드라이브]$ "[패스워드]" /user:[로그인계정]

 

▲ 웹쉘의 목적은 무엇인가?

- 난독화된 웹쉘(2번째)를 해제하면 다음과 같다. : net use \\10.1.1.2\c$&echo

- 즉 원격으로 네트워크 공유폴더를 생성하려고 시도