Préambule: cette (ancienne) solution s’appuie sur Volatility 2.6, datant de 2016.
volest un wrapper rappelant les paramètres fixes dans cette analyse (image mémoire et profil):python2 /opt/volatility/vol.py -f dmp.mem --profile LinuxDebian-FCSCx64 $@
Pour le process, il y a une subtilité parce qu’il n’apparait pas dans linux_pslist ou linux_pstree. Mon hypothèse est qu’il est arrêté. En revanche, il apparaît bien dans linux_psxview :
$ ./vol linux_psxview | grep 1254
0x000000003fdccd80 pool-xfconfd 1254 False True False False False False
La commande à retrouver par sa date d’exécution est, elle, présente dans l’historique du bash :
$ ./vol linux_bash | grep "2020-03-26 23:29:19"
1523 bash 2020-03-26 23:29:19 UTC+0000 nmap -sS -sV 10.42.42.0/24
Pour finir, le nombre d’IP destinations des connexions TCP établies :
$ ./vol linux_netstat --output=greptext | grep ESTABLISHED | cut -d"|" -f5 | sort | uniq | wc -l
13
Je suis peut-être allé un peu vite ? On détaille :
- on affiche la liste des connexions réseau, dans un format scriptable (les attributs sont alors séparés par des
|) - on
greppour ne récupérer que les connexions établies. - le
cutpermet de récupérer le 5ème champ (l’IP destination). sorttrie les IP,uniqsupprime les doublons etwccompte le tout.
Et voici notre flag :
FCSC{pool-xfconfd:nmap -sS -sV 10.42.42.0/24:13}