【Root-Me】Command & Control - level 2~6 Write-up

依照https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-2?lang=en說明，flag為hostname

首先檢查image資訊：

透過hivelist列出registry hive

得知SYSTEM虛擬位址如下：

0x8b21c008 0x039ef008 \REGISTRY\MACHINE\SYSTEM

列出hostname即為flag

Command & Control - level 3

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-3指示，找出可疑的檔案

先透過pstree列出process

找到可疑的cmd.exe發現其父process為iexplore

因level2時已得知使用者的ntuser.dat位址，即可查最常見的Run registry hive

因正常Run無iexplore.exe的啟動項，且路徑也非正常的 C:\Program Files\Internet Explorer\iexplore.exe，判斷可能是惡意程式

再透過cmdline確認PID2772的iexplore.exe是非正常的路徑iexplore.exe

 md5sum惡意程式的完整路徑即為flag

Command & Control - level 4

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-4指示，要找出攻擊者使用的IP:port

先透過netscan找PID 2772，發現無法得知真正的連線

從level2中得知iexplore.exe有去叫cmd.exe，可推測攻擊者會在其中輸入資訊，故透過console查詢追PID 1616

得知攻擊者有執行tcprelay，指令一定會包含其ip、port，而因在cmd.exe中的指令均會由conhost.exe做處理，故追查PID 2168

得知ip與port

Command & Control - level 5

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-5指示，要找出使用者的密碼，先透過hashdump撈John的密碼

google ntlm hash得密碼

Command & Control - level 6

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-6指示，找出c2 domain

先從level2得知的iexplore PID做 process dump，還原惡意程式

丟到線上掃描工具，逐一將domain餵入解答即可