target:将取证工具准备好,为了后面的fic和盘古石取证出一点点力气做准备

这个取证题目真的很nice,学到了不少东西呢

仿真&bypass登录密码

这里我选择用ftk打开,然后进行转换格式进行仿真

然后记录下用ftk的技巧

image-20250422153522106

在evidence tree下面右键项目,有个verify Drive/image,这个可以帮助我们验证文件完整性,稍微费点时间,但是呢,我们平时使用概率不大,就是打打ctf的取证,不见得出题师傅会在制作的镜像中偷偷更改文件。所以上面这个功能做做了解即可

接下来我们需要做的是将e01镜像文件转换成vmdk格式的文件,然后绕过开机登录密码进行VMware仿真取证,有两种方式,一种是使用格式转换工具,比如StarWind V2V Convertor,操作很简单,按照上面的说明,把选项选好即可,这里就不赘叙了,因为它转换好后,依然需要我下面在wsl2的Ubuntu子系统中进行绕过开机密码操作

操作如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
mkdir ~/mnt
ewfmount window.e01 ~/mnt    #将e01文件挂载到那个路径下,这是因为qemu-img无法直接从e01文件转换成vmdk,中间需要绕一步
qemu-img convert -f raw ~/mnt/ewf1 -O vmdk window.vmdk #需要等待,时间取决于文件大小
/*接下来是绕过开机密码的操作*/
sudo modprobe nbd  #加载Linux内核的网络块设备(NBD)模块
sudo qemu-nbd -c /dev/nbd0 window.vmdk #将vmdk文件挂载到/dev/nbd0设备上
sudo fdisk -l /dev/nbd0  #列出设备的分区表,确认分区布局
sudo mkdir /mnt/vmdk
sudo mount /dev/nbd0p1 /mnt/vmdk
sudo ntfsfix /dev/nbd0p2   #如果上一步挂载失败,报错说有脏数据,就拿这条命令彻底清除即可
sudo mount -t ntfs-3g /dev/nbd0p2 /mnt/vmdk
cd /mnt/vmdk/Windows/System32/config
sudo chntpw -i SAM  #操作Windows的注册表SAM
sync
sudo umount /mnt/vmdk
sudo qemu-nbd -d /dev/nbd0

具体交互流程就是下面这样

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
yolo@Yolo:~/Desktop$ mkdir ~/mnt
yolo@Yolo:~/Desktop$ ewfmount window.e01 ~/mnt
ewfmount 20140814

yolo@Yolo:~/Desktop$ qemu-img convert -f raw ~/mnt/ewf1 -O vmdk window.vmdk
yolo@Yolo:~/Desktop$ ls
docker  tools  window.e01  window.vmdk
yolo@Yolo:~/Desktop$ sudo modprobe nbd
[sudo] password for yolo:
yolo@Yolo:~/Desktop$ sudo qemu-nbd -c /dev/nbd0 window.vmdk
yolo@Yolo:~/Desktop$ sudo fdisk -l /dev/nbd0
Disk /dev/nbd0: 80 GiB, 85899345920 bytes, 167772160 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x4bb8fc9c

Device      Boot     Start       End   Sectors  Size Id Type
/dev/nbd0p1 *         2048    104447    102400   50M  7 HPFS/NTFS/exFAT
/dev/nbd0p2         104448 124579774 124475327 59.4G  7 HPFS/NTFS/exFAT
/dev/nbd0p3      124579840 166522879  41943040   20G  f W95 Ext'd (LBA)
/dev/nbd0p4      166522880 167768063   1245184  608M 27 Hidden NTFS WinRE
/dev/nbd0p5      124581888 166522879  41940992   20G  7 HPFS/NTFS/exFAT

Partition table entries are not in disk order.
yolo@Yolo:~/Desktop$ sudo mkdir /mnt/vmdk
yolo@Yolo:~/Desktop$ sudo mount /dev/nbd0p1 /mnt/vmdk
The disk contains an unclean file system (0, 0).
Metadata kept in Windows cache, refused to mount.
Falling back to read-only mount because the NTFS partition is in an
unsafe state. Please resume and shutdown Windows fully (no hibernation
or fast restarting.)
Could not mount read-write, trying read-only
yolo@Yolo:~/Desktop$ sudo ntfsfix /dev/nbd0p2
Mounting volume... The disk contains an unclean file system (0, 0).
Metadata kept in Windows cache, refused to mount.
FAILED
Attempting to correct errors...
Processing $MFT and $MFTMirr...
Reading $MFT... OK
Reading $MFTMirr... OK
Comparing $MFTMirr to $MFT... OK
Processing of $MFT and $MFTMirr completed successfully.
Setting required flags on partition... OK
Going to empty the journal ($LogFile)... OK
Checking the alternate boot sector... OK
NTFS volume version is 3.1.
NTFS partition /dev/nbd0p2 was processed successfully.
yolo@Yolo:~/Desktop$ sudo mount -t ntfs-3g /dev/nbd0p2 /mnt/vmdk
yolo@Yolo:~/Desktop$ cd /mnt/vmdk/Windows/System32/config
yolo@Yolo:/mnt/vmdk/Windows/System32/config$ ls
BBI
BBI.LOG1
BBI.LOG2
BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TM.blf
BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
BCD-Template
BCD-Template.LOG
COMPONENTS
COMPONENTS.LOG1
COMPONENTS.LOG2
COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TM.blf
COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
DEFAULT
DEFAULT.LOG1
DEFAULT.LOG2
DRIVERS
DRIVERS.LOG1
DRIVERS.LOG2
DRIVERS{53b39e70-18c4-11ea-a811-000d3aa4692b}.TM.blf
DRIVERS{53b39e70-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
DRIVERS{53b39e70-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
ELAM
ELAM.LOG1
ELAM.LOG2
ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TM.blf
ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
Journal
RegBack
SAM
SAM.LOG1
SAM.LOG2
SECURITY
SECURITY.LOG1
SECURITY.LOG2
SOFTWARE
SOFTWARE.LOG1
SOFTWARE.LOG2
SYSTEM
SYSTEM.LOG1
SYSTEM.LOG2
TxR
systemprofile
yolo@Yolo:/mnt/vmdk/Windows/System32/config$sudo chntpw -i SAM

chntpw功能很强大,可以根据用户的rid进行密码更换、清除等操作

但是很可惜,有一点是chntpw是不支持中文用户名的,这也就会导致它显示的用户列表中是找不到我想找的嫌疑人起早王的

请看,长这样

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<>========<> chntpw Main Interactive Menu <>========<>

Loaded hives: <SAM>

  1 - Edit user data and passwords
  2 - List groups
      - - -
  9 - Registry editor, now with full write support!
  q - Quit (you will be asked if there is something to save)


What to do? [1] -> 1


===== chntpw Edit User Info & Passwords ====

| RID -|---------- Username ------------| Admin? |- Lock? --|
| 01f4 | Administrator                  | ADMIN  | dis/lock |
| 01f7 | DefaultAccount                 |        | dis/lock |
| 01f5 | Guest                          |        | dis/lock |
| 01f8 | WDAGUtilityAccount             |        | dis/lock |
Cannot find value <\SAM\Domains\Account\Users\FFFFFFFF\V>

Please enter user number (RID) or 0 to exit: [1] 3e9

然后我后面输入的3e9是通过注册表SAM查看的

image-20250422231954246

好在,在chntpw中是能操作的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
================= USER EDIT ====================

RID     : 1001 [03e9]
Username: w�
fullname:
comment :
homedir :

00000220 = Administrators (which has 2 members)

Account bits: 0x0214 =
[ ] Disabled        | [ ] Homedir req.    | [X] Passwd not req. |
[ ] Temp. duplicate | [X] Normal account  | [ ] NMS account     |
[ ] Domain trust ac | [ ] Wks trust act.  | [ ] Srv trust act   |
[X] Pwd don't expir | [ ] Auto lockout    | [ ] (unknown 0x08)  |
[ ] (unknown 0x10)  | [ ] (unknown 0x20)  | [ ] (unknown 0x40)  |

Failed login count: 0, while max tries is: 10
Total  login count: 34

- - - - User Edit Menu:
 1 - Clear (blank) user password
(2 - Unlock and enable user account) [seems unlocked already]
 3 - Promote user (make user an administrator)
 4 - Add user to a group
 5 - Remove user from a group
 q - Quit editing user, back to user select
Select: [q] > 1
Password cleared!

通过选项1做到了清除密码,接下来我们退出保存即可

使用sync同步下磁盘就好,然后把保存好的vmdk复制到有VMware的设备中,然后这里记录下怎么通过vmdk新建虚拟机,首先是自定义

image-20250422232320260

中间默认的部分我不截图了

image-20250422232350110

这里选择稍后

这里选择BIOS

image-20250422232416008

这里选择IDE

image-20250422232435662

这里选择使用已存在的磁盘,就是通过Ubuntu系统保存的那个

image-20250422232527872

清除残留linux系统的一些东西

1
2
3
4
5
6
7
8
9
sudo umount /mnt/vmdk

sudo qemu-nbd -d /dev/nbd0

sudo mount /mnt/vmdk

sudo umount ~/mnt

sudo rmdir ~/mnt

bypass到这里over

取证的题目和解题过程我就不在这里重复了,在这里放一份来自Aura大佬的完整wp,值得反复观看学习

膜拜Aura神的wp

盘古石取证-服务器仿真

这次的服务器仿真我确实没有见过,赛后在Aura的wp帮助下,进行复现

前置:我要先拿到keyfile文件,因为数据盘server2.001被LUKS加密了

这是keyfile内容:

emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==

细节问题还请浏览Aura神的wp

接下来看看这两个001文件,分别是系统盘server1.001和数据盘server2.001

第一步,我需要将两个001文件转换成vmdk,这样做方便我去VMware挂载

第二步,以管理员身份运行VMware,接下来我就把每一小步都记录在截图中里了

image-20250514204739682 image-20250514204748752 image-20250514204819443 image-20250514204959219 image-20250514205025528 image-20250514205037716 image-20250514205224616

TIP

这里使用的是数据盘vmdk!!!

image-20250514205605580

然后先这样保存

第三步,我们需要去更改vmx文件,将这串内容粘贴到文件末尾

image-20250514210335383

然后把那个server1.vmdk文件给复制到vmx文件的路径下,接下来呢,双击打开vmx文件即可

出现这个的时候,就说明我们成功咯,Aura万岁

第四步,把虚拟机关掉,然后对那个数据盘进行解密,解密后再重新打开虚拟机

解密步骤如下,我使用的是wsl2挂载的vmdk1文件的

1
2
3
4
5
6
7
8
sudo modprobe nbd
sudo qemu-nbd -c /dev/nbd1 server1.vmdk
ls -l server1.vmdk
sudo chmod +r server1.vmdk
sudo mkdir -p /mnt/vmdk
sudo fdisk -l /dev/nbd1
sudo mount /dev/nbd1p3 /mnt/vmdk

挂载好后,进入config目录中去

1
2
3
4
5
echo "emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==" | sudo tee keyfile

sudo vim disk.cfg #将这里的lukskeyfile的内容改成keyfile的路径


接下来回到~路径下后,使用sudo umount /mnt/vmdk取消挂载

然后把server1.vmdk重新放到虚拟机配置文件下去,重新双击vmx文件

然后使用账号root和密码P@ssw0rd就好

image-20250514214743819

仿真成功,Aura万岁

6c8b7fbebeab4d4e0ab897fe3c972ea7

分析服务器检材,找出服务器系统启动盘的GUID?[标准格式:数字、字⺟、-的组合,字⺟⼤写]

启动盘是那个sda分区,得到的guid就是下面的那个223DCB83-82B0-4C62-864A-DB28D84735B8

找出服务器⽹关IP?[标准格式:1.1.1.1]

使用ip route就好

得到192.168.56.128

找出服务器数据盘的⽂件系统格式?[标准格式:ntfs]

这里有个考点,一旦密钥文件出现末尾的换行符,会导致解密磁盘失败

使用这两个命令可以检测

1
2
wc -c /boot/config/keyfile
cat -A /boot/config/keyfile

这个时候,建议这样操作

printf "%s" "emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==" > /tmp/keyfile

这样操作

然后重新看lsblk -f就能拿到格式

所以这里应该是zfs

找出服务器数据盘的解密密钥⽂件名?[标准格式:abcd]

解密密钥就是keyfile,没啥看的,甚至disk.cfg里的lukskeyfile的路径下也是keyfile呢

找出服务器密码?[标准格式:key@123]

Aura帮我们爆破过,就是P@ssw0rd

找出服务器版本号?[标准格式:0.0.0]

这样干也行,或者是在仿真开始的时候,就能看到

找出服务器内Docker虚拟硬盘位置?[标准格式:/home/abc/adc.raw]

直接访问这个就好

那个/mnt/disk1/docker.img就是的

找出服务器启动盘的启动标识?[标准格式:D100,写出型号即可]

在系统盘的log归档中可以发现这个

使用的语句是unzip -l /boot/logs/tower-diagnostics-20250415-2101.zip

好啦,就做到这里了,剩下部分我就不复现了,最近还是太忙了,那就继续膜拜Aura的wp好了

再次膜拜Aura神的wp

说些什么吧!

waline