target:将取证工具准备好,为了后面的 fic 和盘古石取证出一点点力气做准备

这个取证题目真的很 nice,学到了不少东西呢

仿真&bypass 登录密码

这里我选择用 ftk 打开,然后进行转换格式进行仿真

然后记录下用 ftk 的技巧

image-20250422153522106

在 evidence tree 下面右键项目,有个 verify Drive/image,这个可以帮助我们验证文件完整性,稍微费点时间,但是呢,我们平时使用概率不大,就是打打 ctf 的取证,不见得出题师傅会在制作的镜像中偷偷更改文件。所以上面这个功能做做了解即可

接下来我们需要做的是将 e01 镜像文件转换成 vmdk 格式的文件,然后绕过开机登录密码进行 VMware 仿真取证,有两种方式,一种是使用格式转换工具,比如StarWind V2V Convertor,操作很简单,按照上面的说明,把选项选好即可,这里就不赘叙了,因为它转换好后,依然需要我下面在 wsl2 的 Ubuntu 子系统中进行绕过开机密码操作

操作如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
mkdir ~/mnt
ewfmount window.e01 ~/mnt    #将e01文件挂载到那个路径下,这是因为qemu-img无法直接从e01文件转换成vmdk,中间需要绕一步
qemu-img convert -f raw ~/mnt/ewf1 -O vmdk window.vmdk #需要等待,时间取决于文件大小
/*接下来是绕过开机密码的操作*/
sudo modprobe nbd  #加载Linux内核的网络块设备(NBD)模块
sudo qemu-nbd -c /dev/nbd0 window.vmdk #将vmdk文件挂载到/dev/nbd0设备上
sudo fdisk -l /dev/nbd0  #列出设备的分区表,确认分区布局
sudo mkdir /mnt/vmdk
sudo mount /dev/nbd0p1 /mnt/vmdk
sudo ntfsfix /dev/nbd0p2   #如果上一步挂载失败,报错说有脏数据,就拿这条命令彻底清除即可
sudo mount -t ntfs-3g /dev/nbd0p2 /mnt/vmdk
cd /mnt/vmdk/Windows/System32/config
sudo chntpw -i SAM  #操作Windows的注册表SAM
sync
sudo umount /mnt/vmdk
sudo qemu-nbd -d /dev/nbd0

具体交互流程就是下面这样

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
yolo@Yolo:~/Desktop$ mkdir ~/mnt
yolo@Yolo:~/Desktop$ ewfmount window.e01 ~/mnt
ewfmount 20140814

yolo@Yolo:~/Desktop$ qemu-img convert -f raw ~/mnt/ewf1 -O vmdk window.vmdk
yolo@Yolo:~/Desktop$ ls
docker  tools  window.e01  window.vmdk
yolo@Yolo:~/Desktop$ sudo modprobe nbd
[sudo] password for yolo:
yolo@Yolo:~/Desktop$ sudo qemu-nbd -c /dev/nbd0 window.vmdk
yolo@Yolo:~/Desktop$ sudo fdisk -l /dev/nbd0
Disk /dev/nbd0: 80 GiB, 85899345920 bytes, 167772160 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x4bb8fc9c

Device      Boot     Start       End   Sectors  Size Id Type
/dev/nbd0p1 *         2048    104447    102400   50M  7 HPFS/NTFS/exFAT
/dev/nbd0p2         104448 124579774 124475327 59.4G  7 HPFS/NTFS/exFAT
/dev/nbd0p3      124579840 166522879  41943040   20G  f W95 Ext'd (LBA)
/dev/nbd0p4      166522880 167768063   1245184  608M 27 Hidden NTFS WinRE
/dev/nbd0p5      124581888 166522879  41940992   20G  7 HPFS/NTFS/exFAT

Partition table entries are not in disk order.
yolo@Yolo:~/Desktop$ sudo mkdir /mnt/vmdk
yolo@Yolo:~/Desktop$ sudo mount /dev/nbd0p1 /mnt/vmdk
The disk contains an unclean file system (0, 0).
Metadata kept in Windows cache, refused to mount.
Falling back to read-only mount because the NTFS partition is in an
unsafe state. Please resume and shutdown Windows fully (no hibernation
or fast restarting.)
Could not mount read-write, trying read-only
yolo@Yolo:~/Desktop$ sudo ntfsfix /dev/nbd0p2
Mounting volume... The disk contains an unclean file system (0, 0).
Metadata kept in Windows cache, refused to mount.
FAILED
Attempting to correct errors...
Processing $MFT and $MFTMirr...
Reading $MFT... OK
Reading $MFTMirr... OK
Comparing $MFTMirr to $MFT... OK
Processing of $MFT and $MFTMirr completed successfully.
Setting required flags on partition... OK
Going to empty the journal ($LogFile)... OK
Checking the alternate boot sector... OK
NTFS volume version is 3.1.
NTFS partition /dev/nbd0p2 was processed successfully.
yolo@Yolo:~/Desktop$ sudo mount -t ntfs-3g /dev/nbd0p2 /mnt/vmdk
yolo@Yolo:~/Desktop$ cd /mnt/vmdk/Windows/System32/config
yolo@Yolo:/mnt/vmdk/Windows/System32/config$ ls
BBI
BBI.LOG1
BBI.LOG2
BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TM.blf
BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
BCD-Template
BCD-Template.LOG
COMPONENTS
COMPONENTS.LOG1
COMPONENTS.LOG2
COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TM.blf
COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
DEFAULT
DEFAULT.LOG1
DEFAULT.LOG2
DRIVERS
DRIVERS.LOG1
DRIVERS.LOG2
DRIVERS{53b39e70-18c4-11ea-a811-000d3aa4692b}.TM.blf
DRIVERS{53b39e70-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
DRIVERS{53b39e70-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
ELAM
ELAM.LOG1
ELAM.LOG2
ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TM.blf
ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
Journal
RegBack
SAM
SAM.LOG1
SAM.LOG2
SECURITY
SECURITY.LOG1
SECURITY.LOG2
SOFTWARE
SOFTWARE.LOG1
SOFTWARE.LOG2
SYSTEM
SYSTEM.LOG1
SYSTEM.LOG2
TxR
systemprofile
yolo@Yolo:/mnt/vmdk/Windows/System32/config$sudo chntpw -i SAM

chntpw 功能很强大,可以根据用户的 rid 进行密码更换、清除等操作

但是很可惜,有一点是 chntpw 是不支持中文用户名的,这也就会导致它显示的用户列表中是找不到我想找的嫌疑人起早王的

请看,长这样

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<>========<> chntpw Main Interactive Menu <>========<>

Loaded hives: <SAM>

  1 - Edit user data and passwords
  2 - List groups
      - - -
  9 - Registry editor, now with full write support!
  q - Quit (you will be asked if there is something to save)


What to do? [1] -> 1


===== chntpw Edit User Info & Passwords ====

| RID -|---------- Username ------------| Admin? |- Lock? --|
| 01f4 | Administrator                  | ADMIN  | dis/lock |
| 01f7 | DefaultAccount                 |        | dis/lock |
| 01f5 | Guest                          |        | dis/lock |
| 01f8 | WDAGUtilityAccount             |        | dis/lock |
Cannot find value <\SAM\Domains\Account\Users\FFFFFFFF\V>

Please enter user number (RID) or 0 to exit: [1] 3e9

然后我后面输入的 3e9 是通过注册表 SAM 查看的

image-20250422231954246

好在,在 chntpw 中是能操作的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
================= USER EDIT ====================

RID     : 1001 [03e9]
Username: w�
fullname:
comment :
homedir :

00000220 = Administrators (which has 2 members)

Account bits: 0x0214 =
[ ] Disabled        | [ ] Homedir req.    | [X] Passwd not req. |
[ ] Temp. duplicate | [X] Normal account  | [ ] NMS account     |
[ ] Domain trust ac | [ ] Wks trust act.  | [ ] Srv trust act   |
[X] Pwd don't expir | [ ] Auto lockout    | [ ] (unknown 0x08)  |
[ ] (unknown 0x10)  | [ ] (unknown 0x20)  | [ ] (unknown 0x40)  |

Failed login count: 0, while max tries is: 10
Total  login count: 34

- - - - User Edit Menu:
 1 - Clear (blank) user password
(2 - Unlock and enable user account) [seems unlocked already]
 3 - Promote user (make user an administrator)
 4 - Add user to a group
 5 - Remove user from a group
 q - Quit editing user, back to user select
Select: [q] > 1
Password cleared!

通过选项 1 做到了清除密码,接下来我们退出保存即可

使用 sync 同步下磁盘就好,然后把保存好的 vmdk 复制到有 VMware 的设备中,然后这里记录下怎么通过 vmdk 新建虚拟机,首先是自定义

image-20250422232320260

中间默认的部分我不截图了

image-20250422232350110

这里选择稍后

这里选择 BIOS

image-20250422232416008

这里选择 IDE

image-20250422232435662

这里选择使用已存在的磁盘,就是通过 Ubuntu 系统保存的那个

image-20250422232527872

清除残留 linux 系统的一些东西

1
2
3
4
5
6
7
8
9
sudo umount /mnt/vmdk

sudo qemu-nbd -d /dev/nbd0

sudo mount /mnt/vmdk

sudo umount ~/mnt

sudo rmdir ~/mnt

bypass 到这里 over

取证的题目和解题过程我就不在这里重复了,在这里放一份来自 Aura 大佬的完整 wp,值得反复观看学习

膜拜 Aura 神的 wp

aura_wp_forensics.pdf

盘古石取证-服务器仿真

这次的服务器仿真我确实没有见过,赛后在 Aura 的 wp 帮助下,进行复现

前置:我要先拿到 keyfile 文件,因为数据盘 server2.001 被 LUKS 加密了

这是 keyfile 内容:

emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==

细节问题还请浏览 Aura 神的 wp

接下来看看这两个 001 文件,分别是系统盘 server1.001 和数据盘 server2.001

第一步,我需要将两个 001 文件转换成 vmdk,这样做方便我去 VMware 挂载

第二步,以管理员身份运行 VMware,接下来我就把每一小步都记录在截图中里了

image-20250514204739682 image-20250514204748752 image-20250514204819443 image-20250514204959219 image-20250514205025528 image-20250514205037716 image-20250514205224616

TIP

这里使用的是数据盘 vmdk!!!

image-20250514205605580

然后先这样保存

第三步,我们需要去更改 vmx 文件,将这串内容粘贴到文件末尾

image-20250514210335383

然后把那个 server1.vmdk 文件给复制到 vmx 文件的路径下,接下来呢,双击打开 vmx 文件即可

出现这个的时候,就说明我们成功咯,Aura 万岁

第四步,把虚拟机关掉,然后对那个数据盘进行解密,解密后再重新打开虚拟机

解密步骤如下,我使用的是 wsl2 挂载的 vmdk1 文件的

1
2
3
4
5
6
7
8
sudo modprobe nbd
sudo qemu-nbd -c /dev/nbd1 server1.vmdk
ls -l server1.vmdk
sudo chmod +r server1.vmdk
sudo mkdir -p /mnt/vmdk
sudo fdisk -l /dev/nbd1
sudo mount /dev/nbd1p3 /mnt/vmdk

挂载好后,进入 config 目录中去

1
2
3
4
5
echo "emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==" | sudo tee keyfile

sudo vim disk.cfg #将这里的lukskeyfile的内容改成keyfile的路径


接下来回到~路径下后,使用sudo umount /mnt/vmdk取消挂载

然后把 server1.vmdk 重新放到虚拟机配置文件下去,重新双击 vmx 文件

然后使用账号 root 和密码 P@ssw0rd 就好

image-20250514214743819

仿真成功,Aura 万岁

6c8b7fbebeab4d4e0ab897fe3c972ea7

分析服务器检材,找出服务器系统启动盘的 GUID?[标准格式:数字、字⺟、-的组合,字⺟⼤写]

启动盘是那个 sda 分区,得到的 guid 就是下面的那个223DCB83-82B0-4C62-864A-DB28D84735B8

找出服务器⽹关 IP?[标准格式:1.1.1.1]

使用 ip route 就好

得到192.168.56.128

找出服务器数据盘的⽂件系统格式?[标准格式:ntfs]

这里有个考点,一旦密钥文件出现末尾的换行符,会导致解密磁盘失败

使用这两个命令可以检测

1
2
wc -c /boot/config/keyfile
cat -A /boot/config/keyfile

这个时候,建议这样操作

printf "%s" "emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==" > /tmp/keyfile

这样操作

然后重新看 lsblk -f 就能拿到格式

所以这里应该是 zfs

找出服务器数据盘的解密密钥⽂件名?[标准格式:abcd]

解密密钥就是 keyfile,没啥看的,甚至 disk.cfg 里的 lukskeyfile 的路径下也是 keyfile 呢

找出服务器密码?[标准格式:key@123]

Aura 帮我们爆破过,就是 P@ssw0rd

找出服务器版本号?[标准格式:0.0.0]

这样干也行,或者是在仿真开始的时候,就能看到

找出服务器内 Docker 虚拟硬盘位置?[标准格式:/home/abc/adc.raw]

直接访问这个就好

那个/mnt/disk1/docker.img 就是的

找出服务器启动盘的启动标识?[标准格式:D100,写出型号即可]

在系统盘的 log 归档中可以发现这个

使用的语句是 unzip -l /boot/logs/tower-diagnostics-20250415-2101.zip

好啦,就做到这里了,剩下部分我就不复现了,最近还是太忙了,那就继续膜拜 Aura 的 wp 好了

再次膜拜 Aura 神的 wp

pangu.pdf

说些什么吧!

waline