menu Ga1@xy's Wor1d
WMCTF2021-Flag Thief WP
597 浏览 | 2021-09-06 | 阅读时间: 约 3 分钟 | 分类: Write Up,MISC,电子数据取证 | 标签: Misc,比赛wp,电子数据取证
请注意,本文编写于 89 天前,最后修改于 89 天前,其中某些信息可能已经过时。

考点

  • e01镜像仿真
  • VMware Tools 文件复制缓存泄露
  • Mctsc 缓存泄露
  • 安卓模拟器镜像仿真还原
  • Android 7 锁屏密码绕过与破解

详解

本题改编自真实取证案例,曾在之前某次大型取证比赛中出现过类似考点但零解(

e01镜像是目前取证中最常用的镜像格式,在制作过程中进行校验与压缩,兼具了速度与完整性两方面,对于e01镜像仿真最简单的方式就是直接将其作为物理盘挂载到本地,可以用工具 AccessData FTK Imager,挂载后我们简单翻一翻文件内容,可以看到安装了 VMware Tools,在路径

\Program Files\VMware\VMware Tools

本机与安装了 VMware Tools 的虚拟机之间进行文件复制操作,VMware Tools 会先将文件传到虚拟机的指定路径下,再对文件进行虚拟机内的复制操作(说点题外话:任何你通过 Vmware Tools 复制进虚拟机的文件在虚拟机中都会存两份,如果不定期对复制文件缓存进行清理,就会很占存储空间,Linux 系统的缓存在用户根目录的隐藏文件夹 .cache/vmware/drag_and_drop/ 下)

\Users\WMCTF\AppData\Local\Temp\vmware-WMCTF\VMwareDnD

在此路径下可以找到两个文件,一个安装包和一个文件名为32位字符串的不知道什么文件,尝试在线解32位hash

得到明文 secret,很明显和题目相关,暂时保存下来,继续寻找其他敏感数据

在此路径下可以看到有个 Terminal Server Client 文件夹,是使用 windows 自带的远程桌面控制留下的缓存数据(如果没有对其他电脑进行过远程则此文件夹不会存在)

\Users\WMCTF\AppData\Local\Microsoft

在 Cache 文件夹下有3个bin文件,是针对 win7 以及更高版本的系统进行远控留下的位图缓存数据,可以从中恢复出图像

简单解析一下bin文件,每个bin文件都有固定的12字节文件头

前8个字节为固定字符串 RDP8bmp

后四个字节是版本号

接下来是每个区块图像的文件头,共12字节

前8个字节是图片hash值

后4个字节分别是图片的宽度(40 00)和高度(40 00)

每个区块图像都是32位深度,占用16384 bytes,可以自行将每个图片数据提取出来补上文件头,即可得到一张bmp图像,也可以写脚本批量提取生成一下,在此提供一个 Github 上的项目:https://github.com/ANSSI-FR/bmc-tools

把3个bin文件全都恢复出来,在恢复出来的图片中可以找到一些包含字符串的重要图片,自行拼图恢复一下可以得到

提示了 VMware Tools 以及 VeraCrypt 容器密码,用此密码可以挂载 secret ,得到一个 vmdk 文件,文件名为 nox-disk2,搜索 nox 可以得知是一个名为夜神的安卓模拟器,下载模拟器后可以将 vmdk 文件导入,导入后打开发现有锁屏密码,在模拟器右上角查看系统信息,可以得知安卓版本

对于 Android 6.0~8.0 版本的锁屏密码相关信息,在手机中的路径如下

/data/system/gatekeeper.pattern.key
/data/system/gatekeeper.password.key
/data/system/device_policies.xml

采用的加密算法是 scrypt-hash

本题采用的是手势图案锁加密,用到 gatekeeper.pattern.key 文件,打开虚拟机后可以用 nox 自带的 adb 连 shell,将文件 pull 下来

.\adb.exe pull /data/system/gatekeeper.pattern.key C:\Users\13760\Desktop\out

device_policies.xml 文件中写有密码的配置信息

可以看到密码长度是 9,即手势图案用到了9个点

生成一个9位数字的字典,然后写脚本爆破,大概要爆20~30min,即可得到密码(脚本可见参考文章)

解锁后可以在通讯录里找到加密的 flag,备注写了锁屏密码,用锁屏密码解密 aes 即可得到最终的 flag

参考文章

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!