- 22 Nis 2019
- 174
- 8
Merhabalar TürkHackTeam ailesi, 15.11.2019-16.11.2019 tarihleri arasında forumumuz bir CTF etkinliği düzenledi bildiginiz gibi. Bu CTF'de Forensics kategorisinde ki soruların çözümlerini sizlere göstereceğim.
İncili Hayvanlar
Hazırlayan: SeNZeRo
Soruda verilen resim dosyası aşağıdaki şekildedir.
Resim dosyalarında ilk olarak yaptığım şey stringlerini ve exif bilgilerine bakmak olur her zaman exif bilgilerinden bir şey çıkmadı bende bende resimdeki stringleri bir txt dosyasına atıp oradan incelemek istedim.4
Çok fazla bir satır olamamasından dolayı hızlı hızlı bakınırken Flag ortaya çıkmıştı.
Which Language
Hazırlayan: SeNZeRo
Soruda bize verilen dosya .jpg gibi görüyor. File komutu ile check ettiğimiz zaman dosyanın arşiv dosyası olduğu görülüyor.
Dosyanın uzantısını düzeltip açtıkan sonra içerisinde bir pdf bizi karşılıyor açmaya çalıştığımız zamam parola ile korumalı olduğunu görüyoruz.
Parola olarak THTCTF olarak denediğimiz de pdf açılıyor ve bizi cipher bir text karşılıyor.
Biraz araştırdıktan sonra metinin deadfish ile şifrelendiğini anlıyoruz ve Bu site üzerinden çözmeye çalışıyoruz ve flag karşımıza çıkıyor.
NTLM
Hazırlayan: RTFM
Geldik benim severek hazırladığım sorulardan ilkine. Bu soruda verilen dosyanın uzantısı yok ne olduğu belirsiz. File signature ile oynanmış, ama dosyayı bir hex editör ile açtığımız da göreceğimiz şey signature kısmında dump yazması.
Demek ki bizim önce dosya imzasını uygun bir şekilde düzenlememiz gerekiyor. Peki biraz araştıralım ve nelerin dump'ı alınabiliyormuş bir göz atalım. Bu Adres üzerinde var olan bütün dosyaların imzası mevcuttur. Ufak bir arama ile 7-8 civarı dump dosyası olduğunu görebilirsiniz.
Biraz deneme yanılma yolu ile dosyanıın bir minidump dosyası olduğunu bulduk.
Peki şimdi ne yapacağız. Dosya için buraya kadar gelip tahmin edemeyen arkadaşlar için söylüyorum, lsass.exe'nin döküm dosyasıdır. Windows sistemlerde parola işlevleri ile uğraşan/yerine getiren bir servistir kendisi, eğer bunun bellek dökümünü alırsanız, içeriden parolaları çok kolay çıkartabilirsiniz. Şimdi ihtiyacımız olan şey mimikatz.
NOT
Mimikatz özellikle sızma testlerinde privilege escalation dediğimiz yani sisteme girdikten sonraki yetki yükseltme aşamasında kullanılan, bellekten parolaları dump edip clear text olarak getiren harika bir araçtır. Tabi yetenekleri bununla sınırlı değil dump'ı alınmış bir lsass.exe'nin de dump dosyasını vererek yine parolaları çıkartabiliriz.
Windows sistemler için ilgili sürümü Bu adres üzerinden indirebilirsiniz.
Peki mimikatz'i indirdik hadi başlayalım. İlk olarak yönetici olarak çalıştırmamız gerekiyor, bu arada gui bulunmadığı için kara ekrana devam buradan. cmd.exe'yi açtıktan sonra mimiktaz'i çalıştırıyoruz.
Kod:
privilege::debug
Kod:
sekurlsa::minidump NTLM.DMPDaha sonra
Kod:
sekurlsa::logonpasswords
Malware Are You?
Hazırlayan: RTFM
Geldik son soruya. Puanına göre aslında kolay bir soruydu. Verilen dosya bellek imajı. Analiz için volatility kullanacağız.
İlk önce
Kod:
volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw imageinfo
Bizim seçeceğimiz sürüm, Win7SP1x64. İlk olarak bir processleri inceleyelim.
Kod:
volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw --profile=Win7SP1x64 pslist
Özellikle dikkatimizi çeken bir process var. qwerty.exe bunun dışında anormal bir şey görülmüyor burada. O zaman şu dosyayı bir çıkartalım bakalım zararlı mı yoksa değil mi?. Bunun için volatility'nin procdump modülünü kullanacağız.
Kod:
volatility -f WIN-7C5AQNQQ5LB-20190918-184413.raw --profile=Win7SP1x64 procdump -p 2076 --dump-dir ./
Peki ama dosyanın zararlımı zararsız mı olduğunu nasıl bileceğiz? virüstotal üzerine dosyayı taratarak tabikide.
Ama biz bunu nasıl flag olarak gireceğiz. Dosya tamam zararlı ama flag olarak nasıl yapabiliriz. Tabiki de md5 hash değerini hesaplayarak, böylelikle dosyanın zararlı olduğunu da kanıtlayabiliriz.
Evet arkadaşlar Forensics kategorisindeki sorular bu kadardı. Yarışmamıza katılan herkes umarım memnun kalmışsınızdır, eğlenmişsinizdir. Bir sonraki yarışmada görüşmek dileğiyle.
