メモリダンプ
Windows 7 のクラッシュダンプが渡される
参考
「怪しいやつが動かしているファイル」→システム以外のユーザと予測
Volatility で開けてみる
プロセス一覧 ./volatility_2.6_lin64_standalone -f ~/ctf/sckosen2019/memory/memory_win7.dmp --profile=Win7SP0x64 procdump --dump-dir ~/ctf/sckosen2019/memory/dump/
code:dump.txt
sei0o@sei0oarch ~/c/s/memory> cat dump.txt
Process(V) ImageBase Name Result
------------------ ------------------ -------------------- ------
0xfffffa8000338740 ------------------ System Error: PEB at 0x0 is unavailable (possibly due to paging)
0xfffffa8000b7c7b0 0x0000000047a70000 smss.exe OK: executable.248.exe
...
0xfffffa80017cc510 0x00000000ff540000 SearchFilterHo OK: executable.1972.exe
0xfffffa80017f9750 0x0000000000270000 svch0st.exe OK: executable.784.exe
0xfffffa8000a8c8d0 0x00000000ffff0000 taskmgr.exe OK: executable.1704.exe
0xfffffa80018867c0 0x00000000ff2c0000 dllhost.exe OK: executable.2136.exe
0xfffffa800184f060 0x00000000ff2c0000 dllhost.exe OK: executable.2184.exe
0xfffffa8001859b30 0x000000013f310000 DumpIt.exe OK: executable.2216.exe
0xfffffa8001872b30 0x00000000ffd50000 conhost.exe OK: executable.2224.exe
0xfffffa8001899b30 0x00000000ff710000 WmiPrvSE.exe OK: executable.2268.exe
DumpIt.exe は普通のOSSで、他には大量に svchost.exe が動いている
一つだけ svch0st.exe が動いていて、ureshino ユーザ(=怪しいやつ)の下に置いてあるのでこれを実行してみると、base64が表示される
CTFKIT{oira_ha_flag_jyaneeee}