THT DUYURU

Capture The Flag Vulnerable VM Walkthrough & Capture The Flag Writeup Yazabileceğiniz Bölüm

Seçenekler

THT CTF Forensics Kategorisi Çözümleri

RTFM - ait Kullanıcı Resmi (Avatar)
Senior Pentester
Üyelik tarihi:
04/2019
Mesajlar:
164
Konular:
39
Teşekkür (Etti):
80
Teşekkür (Aldı):
154
Ticaret:
(0) %
18-11-2019 16:09
#1
THT CTF Forensics Kategorisi Çözümleri

Merhabalar TürkHackTeam ailesi, 15.11.2019-16.11.2019 tarihleri arasında forumumuz bir CTF etkinliği düzenledi bildiginiz gibi. Bu CTF'de Forensics kategorisinde ki soruların çözümlerini sizlere göstereceğim.





İncili Hayvanlar
Hazırlayan: @SeNZeRo

Soruda verilen resim dosyası aşağıdaki şekildedir.



Resim dosyalarında ilk olarak yaptığım şey stringlerini ve exif bilgilerine bakmak olur her zaman exif bilgilerinden bir şey çıkmadı bende bende resimdeki stringleri bir txt dosyasına atıp oradan incelemek istedim.4



Çok fazla bir satır olamamasından dolayı hızlı hızlı bakınırken Flag ortaya çıkmıştı.




Which Language
Hazırlayan: @SeNZeRo

Soruda bize verilen dosya .jpg gibi görüyor. File komutu ile check ettiğimiz zaman dosyanın arşiv dosyası olduğu görülüyor.



Dosyanın uzantısını düzeltip açtıkan sonra içerisinde bir pdf bizi karşılıyor açmaya çalıştığımız zamam parola ile korumalı olduğunu görüyoruz.



Parola olarak THTCTF olarak denediğimiz de pdf açılıyor ve bizi cipher bir text karşılıyor.



Biraz araştırdıktan sonra metinin deadfish ile şifrelendiğini anlıyoruz ve Bu site üzerinden çözmeye çalışıyoruz ve flag karşımıza çıkıyor.




NTLM
Hazırlayan: @RTFM

Geldik benim severek hazırladığım sorulardan ilkine. Bu soruda verilen dosyanın uzantısı yok ne olduğu belirsiz. File signature ile oynanmış, ama dosyayı bir hex editör ile açtığımız da göreceğimiz şey signature kısmında dump yazması.



Demek ki bizim önce dosya imzasını uygun bir şekilde düzenlememiz gerekiyor. Peki biraz araştıralım ve nelerin dump'ı alınabiliyormuş bir göz atalım. Bu Adres üzerinde var olan bütün dosyaların imzası mevcuttur. Ufak bir arama ile 7-8 civarı dump dosyası olduğunu görebilirsiniz.



Biraz deneme yanılma yolu ile dosyanıın bir minidump dosyası olduğunu bulduk.



Peki şimdi ne yapacağız. Dosya için buraya kadar gelip tahmin edemeyen arkadaşlar için söylüyorum, lsass.exe'nin döküm dosyasıdır. Windows sistemlerde parola işlevleri ile uğraşan/yerine getiren bir servistir kendisi, eğer bunun bellek dökümünü alırsanız, içeriden parolaları çok kolay çıkartabilirsiniz. Şimdi ihtiyacımız olan şey mimikatz.

NOT
Mimikatz özellikle sızma testlerinde privilege escalation dediğimiz yani sisteme girdikten sonraki yetki yükseltme aşamasında kullanılan, bellekten parolaları dump edip clear text olarak getiren harika bir araçtır. Tabi yetenekleri bununla sınırlı değil dump'ı alınmış bir lsass.exe'nin de dump dosyasını vererek yine parolaları çıkartabiliriz.

Windows sistemler için ilgili sürümü Bu adres üzerinden indirebilirsiniz.

Peki mimikatz'i indirdik hadi başlayalım. İlk olarak yönetici olarak çalıştırmamız gerekiyor, bu arada gui bulunmadığı için kara ekrana devam buradan. cmd.exe'yi açtıktan sonra mimiktaz'i çalıştırıyoruz.



Kod:
privilege::debug
diyerek önce debug moda alıyoruz. Daha sonra
Kod:
sekurlsa::minidump NTLM.DMP
komutu ile programa bir dump dosyası vereceğimizi ve o dump dosyası içerisinden salt şifreleri çıkarmasını istiyoruz.

Daha sonra
Kod:
sekurlsa::logonpasswords
diyerek paroları dump ediyoruz artık tek sorun parolayı kırmak olacaktır. Buradaki siteden rahatlıkta NTLM'i kırabilirsiniz.




Malware Are You?
Hazırlayan: @RTFM

Geldik son soruya. Puanına göre aslında kolay bir soruydu. Verilen dosya bellek imajı. Analiz için volatility kullanacağız.
İlk önce
Kod:
volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw imageinfo
diyerek imajı alınan makinenin sürümünün ne olduğunu(WIN7-WIN10 vb) tespit etmemiz gerekiyor.



Bizim seçeceğimiz sürüm, Win7SP1x64. İlk olarak bir processleri inceleyelim.
Kod:
volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw --profile=Win7SP1x64 pslist
sürümü belirtikten sonra process listenine bakıyoruz.



Özellikle dikkatimizi çeken bir process var. qwerty.exe bunun dışında anormal bir şey görülmüyor burada. O zaman şu dosyayı bir çıkartalım bakalım zararlı mı yoksa değil mi?. Bunun için volatility'nin procdump modülünü kullanacağız.
Kod:
volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw --profile=Win7SP1x64 procdump -p 2076 --dump-dir ./
diyerek çalıştırılabilir (PE) olarak dump ettik.



Peki ama dosyanın zararlımı zararsız mı olduğunu nasıl bileceğiz? virüstotal üzerine dosyayı taratarak tabikide.



Ama biz bunu nasıl flag olarak gireceğiz. Dosya tamam zararlı ama flag olarak nasıl yapabiliriz. Tabiki de md5 hash değerini hesaplayarak, böylelikle dosyanın zararlı olduğunu da kanıtlayabiliriz.





Evet arkadaşlar Forensics kategorisindeki sorular bu kadardı. Yarışmamıza katılan herkes umarım memnun kalmışsınızdır, eğlenmişsinizdir. Bir sonraki yarışmada görüşmek dileğiyle.
---------------------
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan

15509009 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2019
Mesajlar:
5
Konular:
3
Teşekkür (Etti):
1
Teşekkür (Aldı):
0
Ticaret:
(0) %
18-11-2019 17:38
#2
Cevap: THT CTF Forensics Kategorisi Çözümleri


Dump İçinde ben buna anlam veremedim diyorum 16 ne
Konu 15509009 tarafından (18-11-2019 17:42 Saat 17:42 ) değiştirilmiştir.
RTFM - ait Kullanıcı Resmi (Avatar)
Senior Pentester
Üyelik tarihi:
04/2019
Mesajlar:
164
Konular:
39
Teşekkür (Etti):
80
Teşekkür (Aldı):
154
Ticaret:
(0) %
18-11-2019 17:45
#3
Cevap: THT CTF Forensics Kategorisi Çözümleri
Alıntı:
15509009´isimli üyeden Alıntı Mesajı göster


Dump İçinde ben buna anlam veremedim diyorum 16 ne
O ip ucu aslında string değerlerine bakanlar ilk olarak bunu görsünler diye. 16'dan da şunu çıkarmaları gerekiyor hexedecimal değerlere bakmaları lazım aslında çok da gerek yoktu öylesine koydum da diyebiliriz.
---------------------
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler