Selamlar, bugün “TryHackMe” sitesi üzerinde bulunan “Disk Analysis & Autopsy” adlı labı inceleyip çözümünü gerçekleştireceğiz.
Bir disk imajını Autopsy yazılımı ile incelememiz isteniyor. İçerisinde bir disk imajı bulunduran bir sanal Windows başlatıp onun üzerinden Autopsy yazılımını kullanıyoruz.
Start Machine diyerek makineyi başlatıyoruz. Masaüstünde Autopsy yazılımını ve Case dosyanı görüyoruz.
Autopsy > Open Case > Case File(browse)
1. What is the MD5 hash of the E01 image? (E01 imajın MD5 hashi nedir?)
Bu, disk görüntüsünün meta verilerine bakılarak elde edilebiliriz.
Data Sources > HASAN2.E01 > File Metadata
Cevap: 3f08c518adb3b5c1359849657a9b2079
2. What is the computer account name? (Bilgisayar hesap adı nedir?)
Bu, İşletim Sistemi Bilgileri bölümünde bulubiliriz.
Operating System Information > SYSTEM > File Metadata
Cevap: DESKTOP-0R59DJ3
3. List all the user accounts. (alphabetical order) (Tüm kullanıcı hesaplarını listeleyin.)
Ayrıntılar, İşletim Sistemi Kullanıcı Hesabı bölümünde bulubiliriz.
Operating System User Accounts > Username column
Cevap: keshav, sivapriya, sandhya, srini, H4S4N, joshwa, suba, shreya
4. Who was the last user to log into the computer?( Bilgisayara en son kim giriş yaptı?)
İşletim Sistemi Kullanıcı Hesabı bölümündeki "Erişim Tarihi" sütununu kontrol ediyoruz.
Cevap: sivapriya
5. What was the IP address of the computer? (Bilgisayarın IP adresi neydi?)
Bu bilgiyi elde etmek için aşağıdaki dosyanın içeriğine bakmamız gerekiyor.
Data Sources > HASAN2.E01 > Vol3 > Program Files (x86) > Look@LAN > irunin.ini
Cevap: 192.168.130.216
6. What was the MAC address of the computer? (XX-XX-XX-XX-XX-XX) (Bilgisayarın MAC adresi neydi?)
Bu, yukarıdaki gibi irunin.ini dosyasında da bulunabiliriz.
Cevap: 08–00–27–2c-c4-b9
7. Name the network cards on this computer? ( Bilgisayardaki ağ kartının adı?)
Bu bilgi için İşletim Sistemi Bilgileri bölümüne geri dönmemiz, YAZILIM'ı seçmemiz ve ardından aşağıdaki yola göz atmamız gerekiyor.
ROOT/Microsoft/Windows NT/CurrentVersion/NetworkCards/2
Cevap: Intel(R) PRO/1000 MT Desktop Adapter
8. What is the name of the network monitoring tool? ( Ağ izleme toolunun adı nedir?)
Bunu yanıtlamak için, Yüklü Programlar bölümüne bakın ve ağla ilgili programları arıyoruz. (Program Adı sütununu artan düzende sıralamak yardımcı olabilir
)
Cevap: Look@LAN
9. A user bookmarked a Google Maps location. What are the coordinates of the location? ( Bir kullanıcı bir Google Haritalar konumuna yer işareti koydu. Yerin koordinatları nelerdir?)
Bunun cevabını bulmak için Web Yer İmleri bölümüne gidiyoruz.
Cevap: 12°52’23.0″N 80°13’25.0″E
10. A user has his full name printed on his desktop wallpaper. What is the user’s full name? (Bir kullanıcının tam adı masaüstü duvar kağıdına yazılıdır. Kullanıcının tam adı nedir?)
Bu soruyu çözmek için bakılacak yer her kullanıcı için Görüntüler/Video 'dur.
Duvar kağıdı dosyası, resme sağ tıklayıp "Dışa Aktar" seçilerek uygulamadan'den dışa aktarıyoruz.
Dışa aktarıldıktan sonra bu , Autopsy VM'nin Masaüstündeki " \Case Files\Export " klasöründe bulunabilir. Cevabı almak için bu dosyayı inceliyoruz.
Cevap: anto joshwa
11. A user had a file on her desktop. It had a flag but she changed the flag using PowerShell. What was the first flag? (Bir kullanıcının masaüstünde bir dosyası vardı. Bir flag vardı ama flagi PowerShell kullanarak değiştirdi. İlk bayrak neydi?)
Bu yanıtı bulma işlemim, aşağıdaki yolda bulunan her kullanıcı için PowerShell geçmiş dosyasını kontrol ediyoruz.
Data Sources > HASAN2.E01 > Vol3 > Users > shreya > AppData > Roaming > Microsoft > Windows > PowerShell > PSReadLine > ConsoleHost_history.txt
Cevap: flag{HarleyQuinnForQueen}
12. The same user found an exploit to escalate privileges on the computer. What was the message to the device owner? (Aynı kullanıcı, bilgisayarda ayrıcalıkları yükseltmek için bir exploit buldu. Cihaz sahibine mesaj neydi?)
Bu kullanıcıların Masaüstünü kontrol ederek, bize ihtiyacımız olan cevabı verecek olan "exploit.ps1" adında ki dosyayı inceliyoruz.
Cevap: Flag{I-hacked-you}
13. Two hack tools focused on passwords were found in the system. What are the names of these tools? (alphabetical order) (Sistemde şifre odaklı iki hack aracı bulundu. Bu araçların isimleri nelerdir?)
Bunlar hack araçları olduğundan, Windows Defender'ın bunları tespit etmiş olma ihtimali yüksektir. Windows Defender geçmişini inceleyeceğiz.
Data Sources > HASAN2.E01 > Vol3 > Program Data > Microsoft > Windows Defender > Scans > History > Service > DetectionHistory > 02
Cevap: lazagne, mimikatz
14.There is a YARA file on the computer. Inspect the file. What is the name of the author? (Bilgisayarda bir YARA dosyası var. Dosyayı inceleyin. Yazarın adı nedir?)
Keyword Search yaparak “.yar “ uzantılı dosya aratmak işimizi daha kolaylaştırır. Bu aramayı yaptımızda bir H4S4N kullanıcısının indirdiği dosyalar içerisinde olduğunu görüyoruz.
Cevap: Benjamin DELPY (gentilkiwi)
15. One of the users wanted to exploit a domain controller with an MS-NRPC based exploit. What is the filename of the archive that you found? (include the spaces in your answer) (Kullanıcılardan biri, MS-NRPC tabanlı bir exploite sahip bir etki alanı denetleyicisinden yararlanmak istedi. Bulduğunuz arşivin dosya adı nedir?)
MS-NRPC tabanlı exploiti Google Search ile araştırdığımızda karşımıza Zerologon güvenlik açığı çıkıyor. Zerologon kelimesini keyword search yapıyoruz. Recent Documents bölümünde Zerologon ile ilgili bir doküman buluyoruz.
Cevap: 2.2.0 20200918 Zerologon encrypted
Okuyan ve beğenen herkese teşekkür ederim, diğer konularda görüşmek üzere.
'FatBob
