Insider - CyberDefenders Lab

Maveraün Nehr

Maveraün Nehr

Blue Expert / Head of Malware Team
25 Haz 2021
979
1,879
41.303921, -81.901693


İçindekiler;
- Başlama
- Kullanılan Programın Tanımı
- Soruların Çözümü
- Son


Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "Insider" adlı labın imaj dosyasını inceleyip, çözümünü gerçekleştireceğiz.

CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki imaj dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).

Not Kullanılan Programlar:
FTK Imager(İndirmek İçin; FTK Imager)

f8l1281.png


Kullanmış Olduğumuz Programı Tanıyalım​

FTK ACCESSDATA şirketi tarafından yazılmış ve sürekli geliştirilen dijital veri inceleme ve analiz programıdır. Delil inceleme ve delilleri somut raporlara dönüştürmeye yarayan bu program, tüm dünyada adli bilişim, siber güvenlik vb. alanlarda sıklıkla kullanılmaktadır. Bu program aracılığı ile mahkemeye sunulan rapor ve veriler delil niteliğinde olduğu kabul edilir.
FTK Imager sabit disk, CD, DVD, klasor veya dosya imajı alabileceğimiz ve aldığımız imajı ön izleyebileceğimiz bir yazılımdır. FTK Imager ile dd, e01, ve AFF biçimlerinde imaj alınabilir, alınan imaja sonradan erişilebilir ve imaj dosyası disk sürücüsü gibi gösterilebilir. Windows, Linux ve Mac'le uyumlu olan FTK Imager FAT, NTFS, ext2, ext3 gibi dosyalama biçimlerini de destekler.

FTK Sekmeleri
Explore, Overview, Email, Graphics, Bookmark, Live Search, Index Search, Volatile olmak üzere 8 sekmesi vardır.

Örnek Bir Kullanım Videosu;



f8l1281.png

#1 What distribution of Linux is being used on this machine?

İlk soruda makinede hangi linux versiyonu kullanılmıştır diyor. Hemen "+" ibarelerimizden sekmelerimizi genişletelim ve [root] klasörüne bir tık attıktan sonra karşımıza 3 seçenek çıktı biz sorumuzu cevaplamak için [boot] klasörüne tıklayalım. Ve cevabımız kali.


#2 What is the MD5 hash of the apache access.log?

İkinci sorumuzda "apache" klasörü içerisinde yer alan "access.log" adlı dosyanın MD5 hash kodunu soruyor. Bunun için [var] klasörüne gidelim ve "log" alt klasörünün "+" kısmına bir tık yapalım burada yer alan "apache2" klasörü içerisinde yer "alan access.log" dosyasının MD5 hash kodunu alacağız. Bunun için "access.log" dosyasını dışarı çıkarmamız gerekiyor. Dosyamızı seçip üzerine Sağ Tık -> Export files diyoruz. Ben karışmasın diye bir klasör içerisine çıkartım. Dosyamızı çıkardıktan sonra hash kodunu almak için virüs total sitesine yüklüyoruz buradan "Details" yani detaylar sekmesine giriyoruz cevabımız; d41d8cd98f00b204e9800998ecf8427e






#3 It is believed that a credential dumping tool was downloaded? What is the file name of the download?

Üçüncü soruda bir araç indirilmiş diyor bu aracın adını soruyor. Sorumu cevaplamak için [root] klasörüne geri dönüyorum ve "Downloads" yani İndirilenler klasörünü buluyorum. Burada yer alan "+" kısmına tık atarak cevabımın "mimikatz_trunk.zip" adlı arşiv dosyası olduğunu görüyorum.


#4 There was a super-secret file created. What is the absolute path?

Dördüncü soruda gizli bir dosya oluşturulmuş ama hangi yola oluşturulmuş onu soruyor. Bunun için [root] ana klasörüne dönelim ve ".bash_history" ibaresine bir tık atalım ve içerisine bakalım. Az aşağıda cevabımı görüyorum; /root/Desktop/SuperSecretFile.txt


#5 What program used didyouthinkwedmakeiteasy.jpg during execution?

Sıradaki sorumuzda "didyouthinkwedmakeiteasy.jpg" dosyasını hangi program aracılığı ile çalıştırılmış onu soruyor. Az önceki sorumuzda yapmış olduğumuz işlemler penceresinde en alt sekmeye inince cevabımızın "Binwalk" olduğunu görüyoruz.


#6 What is the third goal from the checklist Karen created?

Altıncı soruda Karen isimli birisi bir liste oluşturmuş ve oluşturulan liste içerisinde yer alan üçüncü ögeyi soruyor. Sorumuzu cevaplamak için [root] klasörüne bir tık atalım buradan Masaüstü yani "Desktop" klasörüne gidelim. Karşımıza "Checklist" diye bir öge çıkacak tıklayalım altta 3 nesne görüyoruz bunlardan üçüncü ögemizin adı "Profit".


#7 How many times was apache run?

Sıradaki yani yedinci sorumuzda Apache'nin kaç kez çalıştırıldığını soruyor. Bunun için [var] adlı ana klasöre "+" kısmına bir tık atıyoruz ve [log] klasörüne de aynı işlemi yapıyoruz. Buradan "apache2" klasörüne bir tık atıyoruz. Burada üç tane öge var "access.log", "error.log", "other_vhosts_access.log". Bu log dosyalarını tek tek açtığımda ise içlerinin boş olduğunu ve hiçbir şey yapılmadığını görüyorum. Bu yüzden cevabım koca bir 0.
Not: Zaten içlerinin boş olmasını log dosyalarını açmadan "Size" yani boyut ibaresinin değerinin 0 olmasından da anlayabiliriz.


#8 It is believed this machine was used to attack another. What file proves this?

Sekizinci soruda bu işletim sistemi başka birine saldırmak için kullanılmış bunu hangi öge ile kanıtlayabilirsiniz diyor. Sorumuzu cevaplamak için [root] ana klasörüne gideceğim çünkü Kali Linux'ta "root" dizini bu tarz işlemler için kullanılır. Araştırma yaparken az aşağıda bir görsel görüyorum ilgili örsele tıkladığımda bunun bir bilgisayarın ekran görüntüsü olduğunu ve işletim sisteminin "Windows" olduğunu görüyorum kısacası başka bir bilgisayar. Kanıtım yani cevabım bu görsel dosyasının adı; irZLAohL.jpeg


#9 Within the Documents file path, it is believed that Karen was taunting a fellow computer expert through a bash script. Who was Karen taunting?

Dokuzuncu soruda diyor ki Karen diye biri var ve bu Karın, bash script aracılığı ile bir bilgisayar uzmanı ile alay ediyor. Bu da "Documents" adlı dosya yolu içinde yar alıyor. Kim bu alay edilen kişi diye soruyor. Zaten dosya yolum belli hemen [root] ana klasörü içerisinden "Documents" klasörünü açıyorum burada "myfirsthack" isimli bir klasör var üzerine bir adet tık yapıyorum. Tık yaptıktan sonra "firstscript" isimli bir ibare ve hemen altında "firstscript_fixed" isimli bir ibare görüyorum. İlk "firstscript" ibaresine tıkladığım zaman hiç bir şey göremiyorum ancak "firstscript_fixed" ibaresine tıkladığım zaman şöyle bir yazı dikkatimi çekiyor; "echo Heck yeah! I can write bash too Young" cevabım Young.


#10 A user su'd to root at 11:26 multiple times. Who was it?

Onuncu sorumuzda bir kullanıcı 11:26 sularında birden fazla kez "root'a" saldırmış. Kim bu saldırgan diyor. Bunun için [var] ana klasöründen dosya çıkarma işlemi yapacağız. [var] ana klasörünün alt klasörü olan "log" klasörüne bir tık yapıyoruz ve içerisindeki auth.log dosyasına bir kere tıklayıp seçiyoruz. Seçili olan klasör üzerinde Sağı Tık -> Export files diyoruz ve istediğimiz alana dosya çıkarma işlemimizi gerçekleştiriyoruz. Şahsen veri karışmasın diye bir klasör içeresine çıkarttıktan sonra dosyamı açıyorum. Çıkartmış olduğum dosyamı açıyorum ve saldırganı bulmayı kolaylaştırmak için kelime bulma işlemi için yaptığım kısa yol tuşlarına (Ctrl+F) basıyorum ve çıkan kutucuğa "su" yazıyorum aratıyorum. Bulunan sonuçlar içerisinde;

Mar 20 11:26:22 KarenHacker su[4060]: Successful su for postgres by root
Mar 20 11:26:22 KarenHacker su[4060]: + ??? root:postgres
Mar 20 11:26:22 KarenHacker su[4060]: pam_unix(su:session): session opened for user postgres by (uid=0)
Mar 20 11:26:22 KarenHacker su[4060]: pam_systemd(su:session): Cannot create session: Already occupied by a session
Mar 20 11:26:22 KarenHacker su[4060]: pam_unix(su:session): session closed for user postgres
Mar 20 11:26:22 KarenHacker su[4074]: Successful su for postgres by root

Metni dikkatimi çekti bir de kullanıcı ismi tabi ki cevabım; postgres




#11 Based on the bash history, what is the current working directory?

Gelelim son sorumuza diyor ki "bash" çalışma geçmişine göre, çalışan dizini sorumuş. Son sorumuzun çözümü için [root] ana klasörümüze bir tık atalım. Buradan karşımıza çıkan dosyalar arasında ".bash_history" ibaresine bir tık atalım. Tık attıktan sonra karşımıza çıkan nesneler içerisinde en alta inelim ve cevabımızı görelim. Cevabımız; /root/Documents/myfirsthack/


 
Alcatraz0657

Alcatraz0657

Katılımcı Üye
14 May 2020
284
80
Maveraun.Nehr' Alıntı:


İçindekiler;
- Başlama
- Kullanılan Programın Tanımı
- Soruların Çözümü
- Son


Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "Insider" adlı labın imaj dosyasını inceleyip, çözümünü gerçekleştireceğiz.

CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki imaj dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).

Not Kullanılan Programlar:
FTK Imager(İndirmek İçin; FTK Imager)

f8l1281.png


Kullanmış Olduğumuz Programı Tanıyalım​

FTK ACCESSDATA şirketi tarafından yazılmış ve sürekli geliştirilen dijital veri inceleme ve analiz programıdır. Delil inceleme ve delilleri somut raporlara dönüştürmeye yarayan bu program, tüm dünyada adli bilişim, siber güvenlik vb. alanlarda sıklıkla kullanılmaktadır. Bu program aracılığı ile mahkemeye sunulan rapor ve veriler delil niteliğinde olduğu kabul edilir.
FTK Imager sabit disk, CD, DVD, klasor veya dosya imajı alabileceğimiz ve aldığımız imajı ön izleyebileceğimiz bir yazılımdır. FTK Imager ile dd, e01, ve AFF biçimlerinde imaj alınabilir, alınan imaja sonradan erişilebilir ve imaj dosyası disk sürücüsü gibi gösterilebilir. Windows, Linux ve Mac'le uyumlu olan FTK Imager FAT, NTFS, ext2, ext3 gibi dosyalama biçimlerini de destekler.

FTK Sekmeleri
Explore, Overview, Email, Graphics, Bookmark, Live Search, Index Search, Volatile olmak üzere 8 sekmesi vardır.

Örnek Bir Kullanım Videosu;



f8l1281.png

#1 What distribution of Linux is being used on this machine?

İlk soruda makinede hangi linux versiyonu kullanılmıştır diyor. Hemen "+" ibarelerimizden sekmelerimizi genişletelim ve [root] klasörüne bir tık attıktan sonra karşımıza 3 seçenek çıktı biz sorumuzu cevaplamak için [boot] klasörüne tıklayalım. Ve cevabımız kali.


#2 What is the MD5 hash of the apache access.log?

İkinci sorumuzda "apache" klasörü içerisinde yer alan "access.log" adlı dosyanın MD5 hash kodunu soruyor. Bunun için [var] klasörüne gidelim ve "log" alt klasörünün "+" kısmına bir tık yapalım burada yer alan "apache2" klasörü içerisinde yer "alan access.log" dosyasının MD5 hash kodunu alacağız. Bunun için "access.log" dosyasını dışarı çıkarmamız gerekiyor. Dosyamızı seçip üzerine Sağ Tık -> Export files diyoruz. Ben karışmasın diye bir klasör içerisine çıkartım. Dosyamızı çıkardıktan sonra hash kodunu almak için virüs total sitesine yüklüyoruz buradan "Details" yani detaylar sekmesine giriyoruz cevabımız; d41d8cd98f00b204e9800998ecf8427e






#3 It is believed that a credential dumping tool was downloaded? What is the file name of the download?

Üçüncü soruda bir araç indirilmiş diyor bu aracın adını soruyor. Sorumu cevaplamak için [root] klasörüne geri dönüyorum ve "Downloads" yani İndirilenler klasörünü buluyorum. Burada yer alan "+" kısmına tık atarak cevabımın "mimikatz_trunk.zip" adlı arşiv dosyası olduğunu görüyorum.


#4 There was a super-secret file created. What is the absolute path?

Dördüncü soruda gizli bir dosya oluşturulmuş ama hangi yola oluşturulmuş onu soruyor. Bunun için [root] ana klasörüne dönelim ve ".bash_history" ibaresine bir tık atalım ve içerisine bakalım. Az aşağıda cevabımı görüyorum; /root/Desktop/SuperSecretFile.txt


#5 What program used didyouthinkwedmakeiteasy.jpg during execution?

Sıradaki sorumuzda "didyouthinkwedmakeiteasy.jpg" dosyasını hangi program aracılığı ile çalıştırılmış onu soruyor. Az önceki sorumuzda yapmış olduğumuz işlemler penceresinde en alt sekmeye inince cevabımızın "Binwalk" olduğunu görüyoruz.


#6 What is the third goal from the checklist Karen created?

Altıncı soruda Karen isimli birisi bir liste oluşturmuş ve oluşturulan liste içerisinde yer alan üçüncü ögeyi soruyor. Sorumuzu cevaplamak için [root] klasörüne bir tık atalım buradan Masaüstü yani "Desktop" klasörüne gidelim. Karşımıza "Checklist" diye bir öge çıkacak tıklayalım altta 3 nesne görüyoruz bunlardan üçüncü ögemizin adı "Profit".


#7 How many times was apache run?

Sıradaki yani yedinci sorumuzda Apache'nin kaç kez çalıştırıldığını soruyor. Bunun için [var] adlı ana klasöre "+" kısmına bir tık atıyoruz ve [log] klasörüne de aynı işlemi yapıyoruz. Buradan "apache2" klasörüne bir tık atıyoruz. Burada üç tane öge var "access.log", "error.log", "other_vhosts_access.log". Bu log dosyalarını tek tek açtığımda ise içlerinin boş olduğunu ve hiçbir şey yapılmadığını görüyorum. Bu yüzden cevabım koca bir 0.
Not: Zaten içlerinin boş olmasını log dosyalarını açmadan "Size" yani boyut ibaresinin değerinin 0 olmasından da anlayabiliriz.


#8 It is believed this machine was used to attack another. What file proves this?

Sekizinci soruda bu işletim sistemi başka birine saldırmak için kullanılmış bunu hangi öge ile kanıtlayabilirsiniz diyor. Sorumuzu cevaplamak için [root] ana klasörüne gideceğim çünkü Kali Linux'ta "root" dizini bu tarz işlemler için kullanılır. Araştırma yaparken az aşağıda bir görsel görüyorum ilgili örsele tıkladığımda bunun bir bilgisayarın ekran görüntüsü olduğunu ve işletim sisteminin "Windows" olduğunu görüyorum kısacası başka bir bilgisayar. Kanıtım yani cevabım bu görsel dosyasının adı; irZLAohL.jpeg


#9 Within the Documents file path, it is believed that Karen was taunting a fellow computer expert through a bash script. Who was Karen taunting?

Dokuzuncu soruda diyor ki Karen diye biri var ve bu Karın, bash script aracılığı ile bir bilgisayar uzmanı ile alay ediyor. Bu da "Documents" adlı dosya yolu içinde yar alıyor. Kim bu alay edilen kişi diye soruyor. Zaten dosya yolum belli hemen [root] ana klasörü içerisinden "Documents" klasörünü açıyorum burada "myfirsthack" isimli bir klasör var üzerine bir adet tık yapıyorum. Tık yaptıktan sonra "firstscript" isimli bir ibare ve hemen altında "firstscript_fixed" isimli bir ibare görüyorum. İlk "firstscript" ibaresine tıkladığım zaman hiç bir şey göremiyorum ancak "firstscript_fixed" ibaresine tıkladığım zaman şöyle bir yazı dikkatimi çekiyor; "echo Heck yeah! I can write bash too Young" cevabım Young.


#10 A user su'd to root at 11:26 multiple times. Who was it?

Onuncu sorumuzda bir kullanıcı 11:26 sularında birden fazla kez "root'a" saldırmış. Kim bu saldırgan diyor. Bunun için [var] ana klasöründen dosya çıkarma işlemi yapacağız. [var] ana klasörünün alt klasörü olan "log" klasörüne bir tık yapıyoruz ve içerisindeki auth.log dosyasına bir kere tıklayıp seçiyoruz. Seçili olan klasör üzerinde Sağı Tık -> Export files diyoruz ve istediğimiz alana dosya çıkarma işlemimizi gerçekleştiriyoruz. Şahsen veri karışmasın diye bir klasör içeresine çıkarttıktan sonra dosyamı açıyorum. Çıkartmış olduğum dosyamı açıyorum ve saldırganı bulmayı kolaylaştırmak için kelime bulma işlemi için yaptığım kısa yol tuşlarına (Ctrl+F) basıyorum ve çıkan kutucuğa "su" yazıyorum aratıyorum. Bulunan sonuçlar içerisinde;

Mar 20 11:26:22 KarenHacker su[4060]: Successful su for postgres by root
Mar 20 11:26:22 KarenHacker su[4060]: + ??? root:postgres
Mar 20 11:26:22 KarenHacker su[4060]: pam_unix(su:session): session opened for user postgres by (uid=0)
Mar 20 11:26:22 KarenHacker su[4060]: pam_systemd(su:session): Cannot create session: Already occupied by a session
Mar 20 11:26:22 KarenHacker su[4060]: pam_unix(su:session): session closed for user postgres
Mar 20 11:26:22 KarenHacker su[4074]: Successful su for postgres by root

Metni dikkatimi çekti bir de kullanıcı ismi tabi ki cevabım; postgres




#11 Based on the bash history, what is the current working directory?

Gelelim son sorumuza diyor ki "bash" çalışma geçmişine göre, çalışan dizini sorumuş. Son sorumuzun çözümü için [root] ana klasörümüze bir tık atalım. Buradan karşımıza çıkan dosyalar arasında ".bash_history" ibaresine bir tık atalım. Tık attıktan sonra karşımıza çıkan nesneler içerisinde en alta inelim ve cevabımızı görelim. Cevabımız; /root/Documents/myfirsthack/


Genişletmek için tıkla ...
gayet işe yarar ve yararlı bir konu olmuş, elinize sağlık (y)
 
MuhammedTr768

MuhammedTr768

Kıdemli Üye
7 Kas 2021
2,933
1,815
31
MyKrallife
Maveraun.Nehr' Alıntı:


İçindekiler;
- Başlama
- Kullanılan Programın Tanımı
- Soruların Çözümü
- Son


Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "Insider" adlı labın imaj dosyasını inceleyip, çözümünü gerçekleştireceğiz.

CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki imaj dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).

Not Kullanılan Programlar:
FTK Imager(İndirmek İçin; FTK Imager)

f8l1281.png


Kullanmış Olduğumuz Programı Tanıyalım​

FTK ACCESSDATA şirketi tarafından yazılmış ve sürekli geliştirilen dijital veri inceleme ve analiz programıdır. Delil inceleme ve delilleri somut raporlara dönüştürmeye yarayan bu program, tüm dünyada adli bilişim, siber güvenlik vb. alanlarda sıklıkla kullanılmaktadır. Bu program aracılığı ile mahkemeye sunulan rapor ve veriler delil niteliğinde olduğu kabul edilir.
FTK Imager sabit disk, CD, DVD, klasor veya dosya imajı alabileceğimiz ve aldığımız imajı ön izleyebileceğimiz bir yazılımdır. FTK Imager ile dd, e01, ve AFF biçimlerinde imaj alınabilir, alınan imaja sonradan erişilebilir ve imaj dosyası disk sürücüsü gibi gösterilebilir. Windows, Linux ve Mac'le uyumlu olan FTK Imager FAT, NTFS, ext2, ext3 gibi dosyalama biçimlerini de destekler.

FTK Sekmeleri
Explore, Overview, Email, Graphics, Bookmark, Live Search, Index Search, Volatile olmak üzere 8 sekmesi vardır.

Örnek Bir Kullanım Videosu;



f8l1281.png

#1 What distribution of Linux is being used on this machine?

İlk soruda makinede hangi linux versiyonu kullanılmıştır diyor. Hemen "+" ibarelerimizden sekmelerimizi genişletelim ve [root] klasörüne bir tık attıktan sonra karşımıza 3 seçenek çıktı biz sorumuzu cevaplamak için [boot] klasörüne tıklayalım. Ve cevabımız kali.


#2 What is the MD5 hash of the apache access.log?

İkinci sorumuzda "apache" klasörü içerisinde yer alan "access.log" adlı dosyanın MD5 hash kodunu soruyor. Bunun için [var] klasörüne gidelim ve "log" alt klasörünün "+" kısmına bir tık yapalım burada yer alan "apache2" klasörü içerisinde yer "alan access.log" dosyasının MD5 hash kodunu alacağız. Bunun için "access.log" dosyasını dışarı çıkarmamız gerekiyor. Dosyamızı seçip üzerine Sağ Tık -> Export files diyoruz. Ben karışmasın diye bir klasör içerisine çıkartım. Dosyamızı çıkardıktan sonra hash kodunu almak için virüs total sitesine yüklüyoruz buradan "Details" yani detaylar sekmesine giriyoruz cevabımız; d41d8cd98f00b204e9800998ecf8427e






#3 It is believed that a credential dumping tool was downloaded? What is the file name of the download?

Üçüncü soruda bir araç indirilmiş diyor bu aracın adını soruyor. Sorumu cevaplamak için [root] klasörüne geri dönüyorum ve "Downloads" yani İndirilenler klasörünü buluyorum. Burada yer alan "+" kısmına tık atarak cevabımın "mimikatz_trunk.zip" adlı arşiv dosyası olduğunu görüyorum.


#4 There was a super-secret file created. What is the absolute path?

Dördüncü soruda gizli bir dosya oluşturulmuş ama hangi yola oluşturulmuş onu soruyor. Bunun için [root] ana klasörüne dönelim ve ".bash_history" ibaresine bir tık atalım ve içerisine bakalım. Az aşağıda cevabımı görüyorum; /root/Desktop/SuperSecretFile.txt


#5 What program used didyouthinkwedmakeiteasy.jpg during execution?

Sıradaki sorumuzda "didyouthinkwedmakeiteasy.jpg" dosyasını hangi program aracılığı ile çalıştırılmış onu soruyor. Az önceki sorumuzda yapmış olduğumuz işlemler penceresinde en alt sekmeye inince cevabımızın "Binwalk" olduğunu görüyoruz.


#6 What is the third goal from the checklist Karen created?

Altıncı soruda Karen isimli birisi bir liste oluşturmuş ve oluşturulan liste içerisinde yer alan üçüncü ögeyi soruyor. Sorumuzu cevaplamak için [root] klasörüne bir tık atalım buradan Masaüstü yani "Desktop" klasörüne gidelim. Karşımıza "Checklist" diye bir öge çıkacak tıklayalım altta 3 nesne görüyoruz bunlardan üçüncü ögemizin adı "Profit".


#7 How many times was apache run?

Sıradaki yani yedinci sorumuzda Apache'nin kaç kez çalıştırıldığını soruyor. Bunun için [var] adlı ana klasöre "+" kısmına bir tık atıyoruz ve [log] klasörüne de aynı işlemi yapıyoruz. Buradan "apache2" klasörüne bir tık atıyoruz. Burada üç tane öge var "access.log", "error.log", "other_vhosts_access.log". Bu log dosyalarını tek tek açtığımda ise içlerinin boş olduğunu ve hiçbir şey yapılmadığını görüyorum. Bu yüzden cevabım koca bir 0.
Not: Zaten içlerinin boş olmasını log dosyalarını açmadan "Size" yani boyut ibaresinin değerinin 0 olmasından da anlayabiliriz.


#8 It is believed this machine was used to attack another. What file proves this?

Sekizinci soruda bu işletim sistemi başka birine saldırmak için kullanılmış bunu hangi öge ile kanıtlayabilirsiniz diyor. Sorumuzu cevaplamak için [root] ana klasörüne gideceğim çünkü Kali Linux'ta "root" dizini bu tarz işlemler için kullanılır. Araştırma yaparken az aşağıda bir görsel görüyorum ilgili örsele tıkladığımda bunun bir bilgisayarın ekran görüntüsü olduğunu ve işletim sisteminin "Windows" olduğunu görüyorum kısacası başka bir bilgisayar. Kanıtım yani cevabım bu görsel dosyasının adı; irZLAohL.jpeg


#9 Within the Documents file path, it is believed that Karen was taunting a fellow computer expert through a bash script. Who was Karen taunting?

Dokuzuncu soruda diyor ki Karen diye biri var ve bu Karın, bash script aracılığı ile bir bilgisayar uzmanı ile alay ediyor. Bu da "Documents" adlı dosya yolu içinde yar alıyor. Kim bu alay edilen kişi diye soruyor. Zaten dosya yolum belli hemen [root] ana klasörü içerisinden "Documents" klasörünü açıyorum burada "myfirsthack" isimli bir klasör var üzerine bir adet tık yapıyorum. Tık yaptıktan sonra "firstscript" isimli bir ibare ve hemen altında "firstscript_fixed" isimli bir ibare görüyorum. İlk "firstscript" ibaresine tıkladığım zaman hiç bir şey göremiyorum ancak "firstscript_fixed" ibaresine tıkladığım zaman şöyle bir yazı dikkatimi çekiyor; "echo Heck yeah! I can write bash too Young" cevabım Young.


#10 A user su'd to root at 11:26 multiple times. Who was it?

Onuncu sorumuzda bir kullanıcı 11:26 sularında birden fazla kez "root'a" saldırmış. Kim bu saldırgan diyor. Bunun için [var] ana klasöründen dosya çıkarma işlemi yapacağız. [var] ana klasörünün alt klasörü olan "log" klasörüne bir tık yapıyoruz ve içerisindeki auth.log dosyasına bir kere tıklayıp seçiyoruz. Seçili olan klasör üzerinde Sağı Tık -> Export files diyoruz ve istediğimiz alana dosya çıkarma işlemimizi gerçekleştiriyoruz. Şahsen veri karışmasın diye bir klasör içeresine çıkarttıktan sonra dosyamı açıyorum. Çıkartmış olduğum dosyamı açıyorum ve saldırganı bulmayı kolaylaştırmak için kelime bulma işlemi için yaptığım kısa yol tuşlarına (Ctrl+F) basıyorum ve çıkan kutucuğa "su" yazıyorum aratıyorum. Bulunan sonuçlar içerisinde;

Mar 20 11:26:22 KarenHacker su[4060]: Successful su for postgres by root
Mar 20 11:26:22 KarenHacker su[4060]: + ??? root:postgres
Mar 20 11:26:22 KarenHacker su[4060]: pam_unix(su:session): session opened for user postgres by (uid=0)
Mar 20 11:26:22 KarenHacker su[4060]: pam_systemd(su:session): Cannot create session: Already occupied by a session
Mar 20 11:26:22 KarenHacker su[4060]: pam_unix(su:session): session closed for user postgres
Mar 20 11:26:22 KarenHacker su[4074]: Successful su for postgres by root

Metni dikkatimi çekti bir de kullanıcı ismi tabi ki cevabım; postgres




#11 Based on the bash history, what is the current working directory?

Gelelim son sorumuza diyor ki "bash" çalışma geçmişine göre, çalışan dizini sorumuş. Son sorumuzun çözümü için [root] ana klasörümüze bir tık atalım. Buradan karşımıza çıkan dosyalar arasında ".bash_history" ibaresine bir tık atalım. Tık attıktan sonra karşımıza çıkan nesneler içerisinde en alta inelim ve cevabımızı görelim. Cevabımız; /root/Documents/myfirsthack/


Genişletmek için tıkla ...
Eline sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.