İçindekiler;
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son
Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "HireMe" adlı labın imaj dosyasını inceleyip, çözümünü gerçekleştireceğiz.
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Kullanılan Programlar:
FTK Imager(https://www.exterro.com/ftk-imager)
Kernel OST viewer(OST Viewer - Free Tool to Open Orphan OST Files)
Registry viewer(Registry Viewer 1.8.0.5)
1. What is the administrator's username?
Cihazdaki yetkili kişinin kullanıcı adını soruyor. Bunu indirmiş olduğumuz klasör içerisinde Horcrux.ad1.txt adlı metin belgesinde ki ibarelerin içerisinde görmemiz mümkün.
Bazı ibareler;
Horcrux.E01
artition 2 [32216MB]:NONAME [NTFS]|[root]|Windows|System32|config|*(Wildcard,Consider Case,Include Subdirectories)Horcrux.E01
artition 2 [32216MB]:NONAME [NTFS]|[root]|Users|Karen|AppData|Local|Google|*(Wildcard,Consider Case,Include Subdirectories)Horcrux.E01
artition 2 [32216MB]:NONAME [NTFS]|[root]|Users|Karen|AppData|Local|Microsoft|Outlook|*(Wildcard,Consider Case,Include Subdirectories)Horcrux.E01
artition 2 [32216MB]:NONAME [NTFS]|[root]|Users|Karen|AppData|Roaming|Microsoft|Office|*(Wildcard,Consider Case,Include Subdirectories)2. What is the OS's build number?
Cihazda yer alan işletim sisteminin sürümünü soruyor sanırım. Bunun için Horcrux.ad1 adlı dosyamı FTK Imager adlı programıma yansıttım. Daha sonra açılan pencerede altta yer alan görseldeki işlemleri yaptım, ulaşmış olduğum klasörde SOFTWARE ibaresini masaüstünde harhangi bir alana çıkarttım. Çıkartmış olduğum dosyamı ise AccessData Registry Viewer adlı programıma yansıttım. Yansıttıktan sonra görselde(ikinci ve üçüncü görsel) ilgili yerleri takip ettim. Cevabım 16299.
3. What is the hostname of the computer?
Cihazın adını soruyor sanırım. Bunu için FTK Imager adlı programıma geri dönüyor aynı sekmede SYSTEM ögesini çıkartıp AccessData Registry Viewer adlı programa yansıtacağım. Daha sonra görselde(ikinci görsel) yer alan sekmeleri açınca cevabım TOTALLYNOTAHACK.
4. A messaging application was used to communicate with a fellow Alpaca enthusiest. What is the name of the software?
Alpakalara(koyun/keçi benzeri evcil hayvan) meraklı bir kişi ile bir mesajlaşma platformu üzerinden sohbet edilmiş bu platformun adını soruyor. Bunun için ilk çıkarmış olduğum SOFTWARE ibaresini geri açtım ancak bir sorun var Windows işletim sisteminde isimsiz uygulamalrın yer aldığı dizini kayıt defteri yolunu bilmiyorum bunun için google arama motoruna default path of windows applications in registry yazdım ve çıkan sonuçlar arasında HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths olduğunu gördüm. Hemen AccessData Registry Viewer üzerinde Microsoft -> Windows -> CurrentVersion -> App Paths kısmına gittim burada yer alan uygulamalar arasında dikkatimi SKYPESERVER.EXE çekti çünkü bu bir mesajlaşma uygulaması idi bu yüzden cevabım Skype.
5. What is the zip code of the administrator's post?
Cihazdaki yetkili kişinin posta kodunu soruyor. Bunun için FTK Imager'a geri döndüm ve görselde(ilk görsel) yer alan takibi yaparak Web Data ibaresine tıkladım. Daha sonra üstte yer alan gözlük ve TEXT görünümlü butona tıklayarak dosyamı okunur hale getirdim. Metin içerisinde gezerken şöyle bir ibare beni karşıladı; [email protected]%;[email protected]"%/PostingTitleJob Needed, 19709 ; buradan hareketle cevabımın 19709 olduğunu anladım.
6. What are the initials of the person who contacted the admin user from TAAUSAI?
TAAUSAI'den cihaz yetkilisi ile iletişim kuran kişilerin baş harflerini soruyor. Bunun için görselde(ilk görsel) yer alan adımları takip ettim ve [email protected] ögesini çıkarttım. Çıkartmış olduğum ost dosyasını Kernel OST Viewer adlı programıma yansıttım. Açılan Pencerede Inbox yani Gelen Kutusu sekmesine gittim buradan Date/Time ögesine iki kere tıkladım ve başlıklarım arasında ilk gelen maile baktım MS yazısını gördüm aynı zamanda cevabımı.
7. How much money was TAAUSAI willing to pay upfront?
TAAUSAI kaç lirayı göden çıkarttı diyor. Aynı sekme içerisinde alıntılı mail olduğu için aşağı inince 150,000 $ olduğunu görüyorum.
8. What country is the admin user meeting the hacker group in?
Cihaz yetkili hackerlar diğer adıyla okan abiler(@DeathWarrior0 ) ile hangi ülkede tanışıp kaynaşmış diyor. Aynı sekme içerisinde şöyle bir konum var 27°22’50.10″N, 33°37’54.62″E google haritalara yazınca Hurghada, Red Sea Governorate, Mısır olduğunu görüyoruz.
9. What is the machine's timezone? (Use the three-letter abbreviation)
Cihazın zaman dilimini soruyor. Bunun için AccesData Registry Viewer'e döndüm ve çıkartmış olduğum SYSTEM ibaresini programa yansıttım. Görseldeki(ilk görsel) işlemleri yaptıktan sonra TimeZone ibaresini buldum ve tıkladım tıklayınca cevabım UTC.
10. When was AlpacaCare.docx last accessed?
AlpacaCare.docx ögesine son erişim ne zaman sağlandı diyor. Bunun için ilk görseldeki alana gittim ve tıklamış olduğum klasör içeresinde alta inince ögemi gördüm cevabımı da öyle.
11. There was a second partition on the drive. What is the letter assigned to it?
Sürücüde bir bölüm daha var diyor ona belirli değerler atanmış onu soruyor. Bunun için AccessData Registry Viewer'e geri döndüm. Maps ögesini genişlettim. MountedDevices ögesine döndüm ve DosDevices ibareleri arasında C, D tanıdık geldi(Yerel Disk isimleri) tanınmayan bileşen ismim A.
12. What is the answer to the question Company's manager asked Karen?
Şirket sorumlusu Karen'a bir soru sormuş bunun cevabı nedir diyor. Kernel OST Viewer'a geri döndüm Date/Time ögesine iki kez tıkladım ve gelen mailler arasında birinicisi silindiği için ikincisine tıkladım. Ardından aşağı indim ve cevabımı gördüm; TheCardCriesNoMore
13. What is the job position offered to Karen? (3 words, 2 spaces in between)
Karen'a sunulan iş teklifinde Karen'in hangi pozisyonda çalıştırılmak istendiğini soruyor. On ikinci sorudaki sekmeden ayrılmadım mail arasında gezerken cevabım: Cyber Security Analyst.
14. When was the admin user password last changed?
Cihaz yetkilisinin kullanıcı şifresinin son değişiklik yapıldığı tarihi soruyor. Bunun için ilk görseldeki adımları izledim ve SAM ibaremi dışarı çıkardım. Daha sonra SAM ibaremi Registry Viewer ile açtım. İkinci görselde yer alan adımları izledim. Admin Karen adlı kullanıcı idi buna tıklayınca Type ibaresinde 0x03E9 kısmını gördüm son 4 haremi ele alacağım yani 03E9. Yukarıda böyle bir nesne var son kısımda, altı çizili olarak belirttim. Altı çizili yere bir tık atıyorum burada yer alan ForcePasswordReset ibareme tıklıyorum sol alt köşede Last Password Change Time ögemin karşısında yazan cevabım; 03/21/2019 19:13:09
15. What version of Chrome is installed on the machine?
Chrome tarayıcısının hangi versiyonunun cihaza kurulduğunu soruyor. Bunun için FTK Imager üzerinde yer alan(ilk görsel) adımları izledim cevabım; 72.0.3626.121
16. What is the HostUrl of Skype?
Skype uygulamasının hangi web adresinden cihaza ulaştığını soruyor bunun için görselde yer alana adımları takip ettim cevabım; https://download.skype.com/s4l/download/win/Skype-8.41.0.54.exe
17. What is the domain name of the website Karen browsed on Alpaca care that the file AlpacaCare.docx is based on?
Karen'in alpaca care.docx dosyasında taradığı web sitesinin alan adı nedir. Bunun için görselde yer alan adımları izledim ve dosyamı çıkarttım, çıkartmış olduğum docx dosyamı açtım. İçerisinde gezerken sayfanın en sonunda Palomino Alpaca Farm ibaresini gördüm hafif fare ile gidince cevabımın da palominoalpacafarm.com olduğunu gördüm.
-Son-
Son soruda çeviriye yardımcı olan değerli üye @wraith00 'a teşekkür ederim.
