[Joints2019] – Memori

Challenge description:

Kamu bertugas sebagai seorang forensik analis dan baru saja mendapat tugas untuk menganalisis sebuah file memory. Partnermu mengatakan bahwa ada tiga potongan informasi penting yang tersembunyi di memori tersebut, temukanlah ketiga potongan tersebut!

Hint: Informasi yang biasanya disimpan dengan sangat rahasia adalah password.

File: https://drive.google.com/file/d/1HWnxYpEGYLWjR3G4vHekg0I6Oi95yIj0/view

Pada soal ini, kita diberikan sebuah file memory dump/memdump. Dan dalam file memdump ini, terdapat 3 potongan flag yang harus kita cari dari 3 tempat berbeda. Untuk analisis memdump ini kita akan menggunakan program Volatility.

Pertama, kita cari tahu terlebih dahulu sistem operasi apa yang digunakan pada memdump ini. Berikut syntaxnya:

$ python vol.py -f <file> imageinfo

Dengan output sebagai berikut:

Dari sini, kita dapat mengetahui bahwa sistem operasinya merupakan Windows 7 SP1 x86. Mengapa kita perlu mencari tahu hal ini? Karena jika kita tidak specify sistem operasi yang digunakan, volatility tidak dapat melakukan analisis karena tidak diketahui struktur file memdumpnya.

Setelah itu, menurut pengalaman penulis (still newbie), ada beberapa tempat yang “menarik” untuk dicari saat kita melakukan analisis pada memdump, yakni:

  • Clipboard
  • Hashdump
  • Process dump (Notepad, chrome, dll)

Dengan informasi itu, pertama kita coba lihat dari clipboard. Berikut syntax yang digunakan:

$ python vol.py -f <file> –profile=<profile> clipboard

Dengan output sebagai berikut:

Hmm, terlihat seperti ada sebuah kumpulan hexadecimal, mari kita coba convert ke string.

Dan kita pun memiliki potongan flag pertama:

Flag: JOINTS19{P0w3r_0f_

Berikutnya, mari kita coba mencari di hashdump. Berikut syntax yang digunakan:

$ python vol.py -f <file> –profile=<profile> hashdump

Dengan output sebagai berikut:

Dari isi hashdump ini, terdapat hash dalam bentuk NTLM (Informasi lebih lengkap mengenai NTLM hash dapat dilihat di link). Dari kumpulan hash yang berada disini, ada 1 hash yang menarik karena berbeda dari yang lain.

Mari kita coba men-crack hash tersebut dengan tools online.

PS: Sepertinya pembuat soal tidak memasukkan plaintext untuk di hash di website lain selain https://md5decrypt.net/en/Ntlm sehingga sampai sekarang, penulis tahunya adalah hash tersebut hanya dapat dicari plaintextnya di website ini.

Oke, kita sudah dapat potongan flag kedua. Tinggal 1 potongan lagi yang perlu kita cari.

Flag: JOINTS19{P0w3r_0f_F0r3n51cs_4n

Berikutnya, mari kita coba untuk process dump. Pertama, kita list terlebih dahulu semua proses yang ada dalam file memdump. Berikut syntax yang digunakan:

$ python vol.py -f memory.dmp –profile=Win7SP1x86_23418 pslist

Dengan output sebagai berikut:

Dari hasil tersebut, kita bisa melakukan dump process dengan opsi memdump. Untuk kali ini, kita coba dump proses notepad.exe. Berikut syntax yang digunakan:

$ python vol.py -f <file> –profile=<profile> memdump -D <dump dir> –pid=<pid>

pid -> opsional

Jika tidak di specify maka volatility akan melakukan dump pada semua proses yang ada.

Dengan output sebagai berikut:

Lalu setelah itu, dengan mengacu pada hint yang ada, kita coba melakukan command strings pada file dmp yang terbentuk dan mencoba untuk mengambil semua yang ada kata “password”. Berikut syntax yang digunakan:

$ strings <file dmp> | grep password

Dengan output sebagai berikut:

Lalu setelah pencarian, diapatkan potongan flag ketiga:

Sehingga flag kita sekarang sudah lengkap:

Flag: JOINTS19{P0w3r_0f_F0r3n51cs_4nD_R3c0n_C0mb1n3d}

PS: Maaf apabila ada penjelasan yang kurang atau apapun karena penulis masih kesulitan dalam mencoba menjelaskan hal ini.

Leave a Reply

Your email address will not be published. Required fields are marked *