THT CTF Forensics Kategorisi Çözümleri

RTFM

Researcher

Üyelik tarihi:

04/2019

Mesajlar:

174

Konular:

Teşekkür (Etti):

131

Teşekkür (Aldı):

250

Ticaret:

(0) %

1932

18-11-2019 16:09

Merhabalar TürkHackTeam ailesi, 15.11.2019-16.11.2019 tarihleri arasında forumumuz bir CTF etkinliği düzenledi bildiginiz gibi. Bu CTF'de Forensics kategorisinde ki soruların çözümlerini sizlere göstereceğim.

İncili Hayvanlar
Hazırlayan: @SeNZeRo

Soruda verilen resim dosyası aşağıdaki şekildedir.

Resim dosyalarında ilk olarak yaptığım şey stringlerini ve exif bilgilerine bakmak olur her zaman exif bilgilerinden bir şey çıkmadı bende bende resimdeki stringleri bir txt dosyasına atıp oradan incelemek istedim.4

Çok fazla bir satır olamamasından dolayı hızlı hızlı bakınırken Flag ortaya çıkmıştı.

Which Language
Hazırlayan: @SeNZeRo

Soruda bize verilen dosya .jpg gibi görüyor. File komutu ile check ettiğimiz zaman dosyanın arşiv dosyası olduğu görülüyor.

Dosyanın uzantısını düzeltip açtıkan sonra içerisinde bir pdf bizi karşılıyor açmaya çalıştığımız zamam parola ile korumalı olduğunu görüyoruz.

Parola olarak THTCTF olarak denediğimiz de pdf açılıyor ve bizi cipher bir text karşılıyor.

Biraz araştırdıktan sonra metinin deadfish ile şifrelendiğini anlıyoruz ve Bu site üzerinden çözmeye çalışıyoruz ve flag karşımıza çıkıyor.

NTLM
Hazırlayan: @RTFM

Geldik benim severek hazırladığım sorulardan ilkine. Bu soruda verilen dosyanın uzantısı yok ne olduğu belirsiz. File signature ile oynanmış, ama dosyayı bir hex editör ile açtığımız da göreceğimiz şey signature kısmında dump yazması.

Demek ki bizim önce dosya imzasını uygun bir şekilde düzenlememiz gerekiyor. Peki biraz araştıralım ve nelerin dump'ı alınabiliyormuş bir göz atalım. Bu Adres üzerinde var olan bütün dosyaların imzası mevcuttur. Ufak bir arama ile 7-8 civarı dump dosyası olduğunu görebilirsiniz.

Biraz deneme yanılma yolu ile dosyanıın bir minidump dosyası olduğunu bulduk.

Peki şimdi ne yapacağız. Dosya için buraya kadar gelip tahmin edemeyen arkadaşlar için söylüyorum, lsass.exe'nin döküm dosyasıdır. Windows sistemlerde parola işlevleri ile uğraşan/yerine getiren bir servistir kendisi, eğer bunun bellek dökümünü alırsanız, içeriden parolaları çok kolay çıkartabilirsiniz. Şimdi ihtiyacımız olan şey mimikatz.

NOT
Mimikatz özellikle sızma testlerinde privilege escalation dediğimiz yani sisteme girdikten sonraki yetki yükseltme aşamasında kullanılan, bellekten parolaları dump edip clear text olarak getiren harika bir araçtır. Tabi yetenekleri bununla sınırlı değil dump'ı alınmış bir lsass.exe'nin de dump dosyasını vererek yine parolaları çıkartabiliriz.

Windows sistemler için ilgili sürümü Bu adres üzerinden indirebilirsiniz.

Peki mimikatz'i indirdik hadi başlayalım. İlk olarak yönetici olarak çalıştırmamız gerekiyor, bu arada gui bulunmadığı için kara ekrana devam buradan. cmd.exe'yi açtıktan sonra mimiktaz'i çalıştırıyoruz.

Kod:

privilege::debug

diyerek önce debug moda alıyoruz. Daha sonra

Kod:

sekurlsa::minidump NTLM.DMP

komutu ile programa bir dump dosyası vereceğimizi ve o dump dosyası içerisinden salt şifreleri çıkarmasını istiyoruz.

Daha sonra

Kod:

sekurlsa::logonpasswords

diyerek paroları dump ediyoruz artık tek sorun parolayı kırmak olacaktır. Buradaki siteden rahatlıkta NTLM'i kırabilirsiniz.

Malware Are You?
Hazırlayan: @RTFM

Geldik son soruya. Puanına göre aslında kolay bir soruydu. Verilen dosya bellek imajı. Analiz için volatility kullanacağız.
İlk önce

Kod:

volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw imageinfo

diyerek imajı alınan makinenin sürümünün ne olduğunu(WIN7-WIN10 vb) tespit etmemiz gerekiyor.

Bizim seçeceğimiz sürüm, Win7SP1x64. İlk olarak bir processleri inceleyelim.

Kod:

volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw --profile=Win7SP1x64 pslist

sürümü belirtikten sonra process listenine bakıyoruz.

Özellikle dikkatimizi çeken bir process var. qwerty.exe bunun dışında anormal bir şey görülmüyor burada. O zaman şu dosyayı bir çıkartalım bakalım zararlı mı yoksa değil mi?. Bunun için volatility'nin procdump modülünü kullanacağız.

Kod:

volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw --profile=Win7SP1x64 procdump -p 2076 --dump-dir ./

diyerek çalıştırılabilir (PE) olarak dump ettik.

Peki ama dosyanın zararlımı zararsız mı olduğunu nasıl bileceğiz? virüstotal üzerine dosyayı taratarak tabikide.

Ama biz bunu nasıl flag olarak gireceğiz. Dosya tamam zararlı ama flag olarak nasıl yapabiliriz. Tabiki de md5 hash değerini hesaplayarak, böylelikle dosyanın zararlı olduğunu da kanıtlayabiliriz.

Evet arkadaşlar Forensics kategorisindeki sorular bu kadardı. Yarışmamıza katılan herkes umarım memnun kalmışsınızdır, eğlenmişsinizdir. Bir sonraki yarışmada görüşmek dileğiyle.

---------------------

Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan

Alıntı Yap

Ranger_THT, ᴄʀᴜᴇʟ, P4RS, нydrαтнαlleѕ, ch_arli41, By Ghost, Rhotav, AhmetKaan46, NAK0, islam_hacker, Codx, Quality38 Teşekkür etti.

15509009

Yeni Üye

Üyelik tarihi:

02/2019

Mesajlar:

Konular:

Teşekkür (Etti):

Teşekkür (Aldı):

Ticaret:

(0) %

18-11-2019 17:38

Dump İçinde ben buna anlam veremedim diyorum 16 ne

Konu 15509009 tarafından (18-11-2019 17:42 Saat 17:42 ) değiştirilmiştir.

Alıntı Yap

RTFM

Researcher

Üyelik tarihi:

04/2019

Mesajlar:

174

Konular:

Teşekkür (Etti):

131

Teşekkür (Aldı):

250

Ticaret:

(0) %

18-11-2019 17:45

Alıntı:

15509009´isimli üyeden Alıntı

Dump İçinde ben buna anlam veremedim diyorum 16 ne

O ip ucu aslında string değerlerine bakanlar ilk olarak bunu görsünler diye. 16'dan da şunu çıkarmaları gerekiyor hexedecimal değerlere bakmaları lazım aslında çok da gerek yoktu öylesine koydum da diyebiliriz.

---------------------

Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan

Alıntı Yap

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder