İçindekiler;
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son
Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "HawkEye" adlı labın imaj dosyasını inceleyip, çözümünü gerçekleştireceğiz.
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Kullanılan Programlar:
NirSoft Tools(İndirmek İçin; freeware utilities: password recovery, system utilities, desktop utilities - For Windows)
FTK Imager(İndirmek İçin; FTK Imager)
1. What is the MD5 hash value of the suspect disk?
İlk sorumuzda bizden şüpheli diskin MD5 Hash değerini istiyor. Bunun için DiskDrigger.ad1.txt içerisinde altta cevabım; 9471e69c95d8909ae60ddff30d50ffa1.
2. What phrase did the suspect search for on 2021-04-29 18:17:38 UTC? (three words, two spaces in between)
İkinci sorumuzda 2021-04-29 18:17:38 UTC saatlerinde bir şey aramış aradığı şeyi soruyor. Bunun için /[root]/Users/John Doe/AppData/Local/Google/Chrome/User Data/Default/Cache kısmını FTK imager adlı programımda adım adım izledim. Gelen ibare üzerinde Sağ Tık -> Export Files deyip bir yere çıkarttım. Daha sonra veriye ulaşmak için NirSoft Tools chromecacheview programına yansıttım. Cevabım penceremde password cracking lists
Nirsoft Tools Kullanım Videosu;
3. What is the IPv4 address of the FTP server the suspect connected to?
Sıradaki sorumuzda şüphelinin bağlı olduğu FTP sunucusunun IPv4 adresini soruyor. Bunun için görselde yer alan uygulamaları yaptım ve cevabım recentservers.xml içerisinde 192.168.1.20.
4. What date and time was a password list deleted in UTC? (YYYY-MM-DD HH:MM:SS UTC)
Dördüncü sorumuzda bizden UTC zamanlama türevinde bir parola listesi silinmiş bunun günü ayı zamanı dakikasını UTC zamanlama cinsinden istiyor. Bunun için görselde yer alan adımları izledim cevabım; 2021-04-29 18:22:17 UTC
5. How many times was Tor Browser ran on the suspect's computer? (number only)
Beşinci sorumuzda Tor Browser cihazda kaç kez çalıştırıldı diyor. Bunun için aynı ikinci soruda yaptığım işlemlerin benzerini yaptım ama bu sefer WinPrefetchView adlı uygulamayı yaptım çıkartma işlemini ise [root]/Windows/Prefetch/ dizini üzerinde yaptım. Cevabımın kocaman bir hiç olduğunu görüyorum.
Aynı işlemi TimeLineExplorer üzerinde de yapabilirsiniz. D:\>PECmd.exe -d "D:\Blue\files\[root]\Windows\Prefetch\" --csv "g:\temp" --csvf foo.csv kodunu girerek.
6. What is the suspect's email address?
Altıncı soruda şüpheli maili soruyor. Bunun için /[root]/Users/John Doe/AppData/Local/Google/Chrome/User Data/Default/History dizinine gittim ve History ibaresini klasöre çıkarttım. NirSoft'un BrowsingHistoryView programını kullanarak çıkan dosyamı burada görüntüledim ve gelen veriler arasında cevabım; [email protected]
7. What is the FQDN did the suspect port scan?
Yedinci sorumuzda bizden taramış olduğu FQDN host'unun ismini soruyor sanırım. Bunun için görselde yaptığım işlemlerin aynısını yaptım ve cevabım; dfir.science
8.What country was picture "20210429_152043.jpg" allegedly taken in?
"20210429_151535.jpg" adlı ana klasör adı resmi, şüpheli dosyayı masaüstündeki "kişi" klasörüne kopyalamadan önce ne oldu? demiş. Bunun için dosyayı tekrar FTK Imager yansıtıyoruz dosya içerisinde gideceğimiz yer resimlerdir normal kişisel bilgisayarımızla aynı adrese gidiyoruz Pictures kısmını
Burada resmin önceden nerede bulunduğunu soruyor bahsi geçen resme sağ tık ayrıntılar yapınca LG markalı bir telefonda bulunduğunu gözlemliyorum ve Google sonuçlardan aratınca cameralı bir telefonla karşılaşılıyorum resmin kameralı bir telefonla çekildiğine bu şekilde emin oluyorum
10.A Windows password hashes for an account are below. What is the user's password?Anon:1001:aad3b435b51404eeaad3b435b51404ee:3DE1A36F6DDB8E036DFD75E8E20C4AF4:::
[/url]Burada şifrelerin ne olduğunu soruyor şifreleri bir texte kaydedip hashcat ile açıyorum
hashcat -m 1000 -a 0 "3DE1A36F6DDB8E036DFD75E8E20C4AF4"
/home/rhc/Downloads/rockyou.txt -r
Açtığımda her hangi bir sonuç bulamıyorum sonrasında bütün harfleri küçük harf yapan OneRuleToRuleThemAll kuralını kullanıyorum ve şifreyi bana gösteriyor
Burada kullanıcının parolasını soruyor bilgisayarla ilgili bütün sorularda FTK Manager'i kullanıyorum kullanıcı adı bilgilerini almak için Windows/system dizinini masaüstüne import ediyorum burada kullanıcı bilgilerini barındıran SAM dosyasını Hashcat (şifre kırıcı gösterici vs.) uygulamaya yansıtıyorum yansıttıktan sonra hashcat ile cracked'lediğimiz metine geldiğimiz de bize bilgisayar şifresini yansıtmaktadır.
-Son-
Son düzenleme:
