-
-
[求助]VMDK+LUKS的破解思路?
-
发表于: 2018-8-28 12:04
-
事情是这样的:
1、一个VMWare虚拟机,虚拟机包含两个硬盘,第一块硬盘分区标识为83(EXT2?),但怎么也挂载不上...
2、第二块硬盘似乎经过LUKS加密:
3、虚拟机能够正常启动,不需要任何认证,推测是配置了LUKS自动解锁;但在没有UKEY的情况下是一个黑屏,什么网络服务也不开
4、经测试,恢复挂起的虚拟机、或IDA远程调试都会导致虚拟机关机...
只有第一块硬盘的第一个分区中包含可见的字符串内容,并在其中找到了这样的内容:
上图:附件“可疑内容1.bin”
内存快照中还找到了疑似相关的配置文件:
<device DEVNO="0x0801" TIME="1368429238.186822" UUID="6c7797c2-822c-47c8-bbc8-c49774179d44" TYPE="ext2">/dev/sda1</device>
<device DEVNO="0x0802" TIME="1529049535.849957" UUID="ac82a7d6-e35e-49b4-8a10-f0e14dcb122c" TYPE="crypto_LUKS">/dev/sda2</device>
<device DEVNO="0xfd00" TIME="1513757395.190998" UUID="75a28d1f-bb94-425e-bc8c-a6257d961c07" UUID_SUB="62494c17-cd41-47ba-8e19-a09e543f99c7" TYPE="btrfs">/dev/mapper/root</device>
<device DEVNO="0x0811" TIME="1534883874.354768" UUID="451b07e9-e47f-40f3-bf9c-a63ccd65f00e" TYPE="crypto_LUKS">/dev/sdb1</device>
<device DEVNO="0x0812" TIME="1534883878.4975" UUID="b126ff41-23df-4bfb-bab7-41bd38dfd9b2" TYPE="crypto_LUKS">/dev/sdb2</device>
<device DEVNO="0x0813" TIME="1534883881.666161" UUID="19018539-0dd3-4bbd-9bca-beefd29fa459" TYPE="crypto_LUKS">/dev/sdb3</device>
<device DEVNO="0x0815" TIME="1534883885.262011" UUID="30492430-1a9a-4602-bbd3-dfeb06a74047" TYPE="crypto_LUKS">/dev/sdb5</device>
<device DEVNO="0x0816" TIME="1534883888.464798" UUID="620f30f7-3565-41fd-be2f-c514f8024781" TYPE="crypto_LUKS">/dev/sdb6</device>
以及更多的类似内容:
以上是待破解软件的大致情况。期望目标是在虚拟机启动后执行shell。
通过内存快照(就是挂起虚拟机然后查看vmem文件)可知,这个虚拟机启动后,会执行一个.sh文件。如果能够修改这个文件也就大功告成了。
不用非常详细,但如果能给个思路之类的,就感激不尽了...
在此向各位大佬们致以崇高的敬意!~
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
