FreeHackQuest - admin_vol.1. Writeup от @Max_RSC
Задача — имея образ виртуального диска Mik.vdi, найти информацию о злоумышленнике, про которого известно, что он очень любит "Матрицу" и "Алису в стране чудес".
Подключаем диск Mik.vdi к виртуалке с Kali Linux и загружаемся. После старта в /media/kali видим два смонтированных раздела: system и system1.
Раз есть "Матрица", значит, наверняка есть Нео. Предположим, что n30 – один из пользователей этой системы. Пробуем поискать информацию по ключевому слову n30:
Ничего интересного. Хорошо, теперь поищем в system1:
Получаем зацепку и начинаем копать более прицельно:
Ключик -a заставляет grep рассматривать файл как текстовый, даже если это бинарный файл.
В результате натыкаемся на пользователя whiterabbit, а рядом — флаг.
"whiterabbit" — это явная отсылка одновременно и к "Алисе" и к "Матрице", так что можно было сразу грепать и по "white", и по "rabbit". Разумеется, при условии, что кибератлет достаточно эрудирован и уловил отсылку из условия задачи.
#admin #forensics #fhq #writeup
Задача — имея образ виртуального диска Mik.vdi, найти информацию о злоумышленнике, про которого известно, что он очень любит "Матрицу" и "Алису в стране чудес".
Подключаем диск Mik.vdi к виртуалке с Kali Linux и загружаемся. После старта в /media/kali видим два смонтированных раздела: system и system1.
Раз есть "Матрица", значит, наверняка есть Нео. Предположим, что n30 – один из пользователей этой системы. Пробуем поискать информацию по ключевому слову n30:
grep -i n30 -r /media/kali/system
Ничего интересного. Хорошо, теперь поищем в system1:
grep -i n30 -r /media/kali/system1
Получаем зацепку и начинаем копать более прицельно:
grep -ai n30 -r /media/kali/system1/rw/store/user.dat
Ключик -a заставляет grep рассматривать файл как текстовый, даже если это бинарный файл.
В результате натыкаемся на пользователя whiterabbit, а рядом — флаг.
"whiterabbit" — это явная отсылка одновременно и к "Алисе" и к "Матрице", так что можно было сразу грепать и по "white", и по "rabbit". Разумеется, при условии, что кибератлет достаточно эрудирован и уловил отсылку из условия задачи.
#admin #forensics #fhq #writeup
❤12
#forensics #medium #writeup
Kuban CTF – Файловый трансфер от @Rean1mat0r (ТОП-5 на HackerLab)
Открываем дамп трафика в Wireshark и смотрим файлы в дампе:
Файл -> Экспортировать объекты -> FTP-Data
Сохраняем архив archive.zip, он запаролен
Смотрим TCP потоки и в потоке 5 находим:
220 (vsFTPd 3.0.5)
USER transfer
331 Please specify the password.
PASS 7+N42D(Msj9:
230 Login successful.
Пароль подходит к архиву, в архиве файл secure_creds.txt с таким содержимым:
/RteVGJrn
PMkEaBLVfp
/RteVGJrn очень похоже на какой то эндпоинт
Исследуем TCP потоки и в потоке 13 находим адрес pastebin.com
Заходим на pastebin.com/RteVGJrn вводим пароль PMkEaBLVfp и получаем заметку с флагом
💬 Канал & Чат | 📺 RUTUBE | 📺 YouTube
Kuban CTF – Файловый трансфер от @Rean1mat0r (ТОП-5 на HackerLab)
Открываем дамп трафика в Wireshark и смотрим файлы в дампе:
Файл -> Экспортировать объекты -> FTP-Data
Сохраняем архив archive.zip, он запаролен
Смотрим TCP потоки и в потоке 5 находим:
220 (vsFTPd 3.0.5)
USER transfer
331 Please specify the password.
PASS 7+N42D(Msj9:
230 Login successful.
Пароль подходит к архиву, в архиве файл secure_creds.txt с таким содержимым:
/RteVGJrn
PMkEaBLVfp
/RteVGJrn очень похоже на какой то эндпоинт
Исследуем TCP потоки и в потоке 13 находим адрес pastebin.com
Заходим на pastebin.com/RteVGJrn вводим пароль PMkEaBLVfp и получаем заметку с флагом
Please open Telegram to view this post
VIEW IN TELEGRAM
1
#forensics #medium #writeup
Kuban CTF – MTF от @Rean1mat0r (ТОП-5 на HackerLab)
Дан дамп MFT
Гуглим MFT Forensics и находим утилиту MFT Explorer
Открываем в ней наш дамп и изучаем
Проверяем папки пользователя, такие как Desktop, Documents, Downloads. Ничего интересного не находим. Но в файле истории команд Powershell ".\Users\trager\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt" находим такое:
ASCII: cd ~/Desktop
1..5 | ForEach-Object {Set-Content -Path "test$_.txt" -Value "$_" }
1..50 | ForEach-Object {Set-Content -Path "test$_.txt" -Value "$_" }
1..150 | ForEach-Object {Set-Content -Path "test$_.txt" -Value "$_" }
ping 192.168.58.132
cd C:\Windows\
ls
echo 1 > Doc
ls
echo "43 53 43 7B 6D 34 73 74 65 72 5F 66 31 6C 65 5F 74 34 62 6C 65 5F 70 34 73 73 65 64 7D" > Doc
cat .\Doc
cd C:\Users\trager\Downloads\
ls
./fast_x64.exe --packages dump --dump mft
.\FastIR_x64.exe --packages dump --dump mft
Декодим из хекс 43 53 43 7B 6D 34 73 74 65 72 5F 66 31 6C 65 5F 74 34 62 6C 65 5F 70 34 73 73 65 64 7D и получаем флаг
💬 Канал & Чат | 📺 RUTUBE | 📺 YouTube
Kuban CTF – MTF от @Rean1mat0r (ТОП-5 на HackerLab)
Дан дамп MFT
Гуглим MFT Forensics и находим утилиту MFT Explorer
Открываем в ней наш дамп и изучаем
Проверяем папки пользователя, такие как Desktop, Documents, Downloads. Ничего интересного не находим. Но в файле истории команд Powershell ".\Users\trager\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt" находим такое:
ASCII: cd ~/Desktop
1..5 | ForEach-Object {Set-Content -Path "test$_.txt" -Value "$_" }
1..50 | ForEach-Object {Set-Content -Path "test$_.txt" -Value "$_" }
1..150 | ForEach-Object {Set-Content -Path "test$_.txt" -Value "$_" }
ping 192.168.58.132
cd C:\Windows\
ls
echo 1 > Doc
ls
echo "43 53 43 7B 6D 34 73 74 65 72 5F 66 31 6C 65 5F 74 34 62 6C 65 5F 70 34 73 73 65 64 7D" > Doc
cat .\Doc
cd C:\Users\trager\Downloads\
ls
./fast_x64.exe --packages dump --dump mft
.\FastIR_x64.exe --packages dump --dump mft
Декодим из хекс 43 53 43 7B 6D 34 73 74 65 72 5F 66 31 6C 65 5F 74 34 62 6C 65 5F 70 34 73 73 65 64 7D и получаем флаг
Please open Telegram to view this post
VIEW IN TELEGRAM
Подборка райтапов с прошедшего AlfaCTF:
Задания кстати все еще доступны
https://alfactf.ru/tasks
🛡 Защита от спама
(https://t.me/writeup_ctf/784)
#Easy #Infra #Web
🎶 Звуки ностальгии
(https://t.me/writeup_ctf/783)
#Easy #Misc #OSINT
🌊 Цунами дедлайнов
(https://t.me/writeup_ctf/793)
#Easy #Web
🌈🎛 Кислотный ретровейв
(https://t.me/writeup_ctf/786)
#Easy #Web
🌴💰 Пальма с биткоинами
(https://t.me/writeup_ctf/785)
#Easy #Web #JS
👨💻🏖 Разработчик на пляже
(https://t.me/writeup_ctf/790)
#Medium #Infra #Dev #Pentest
🎵🌀 Вихрь рик-ролла
(https://t.me/writeup_ctf/789)
#Medium #Web #Logic
🐺🌊 Шакализация волны
(https://t.me/writeup_ctf/788)
#Medium #Web #OAuth #Client
📹🚁 Десант блогеров
(https://t.me/writeup_ctf/787)
#Medium #Web #Logic
🌇🛠 Фиксы в лучах заката
(https://t.me/writeup_ctf/792)
#Hard #Forensics #Linux #Infra #LPE
🥒😈 Дикий огурец
(https://t.me/writeup_ctf/791)
#Hard #Pwn #Python
🏍⚡️ Непослушный мотоциклист
(https://t.me/writeup_ctf/795)
#Hard #Coding #Reverse #Network
🧱🔙 Возвращение стены
(https://t.me/writeup_ctf/794)
#Hard #Web #Client
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
🛡 Защита от спама
(https://t.me/writeup_ctf/784)
#Easy #Infra #Web
🎶 Звуки ностальгии
(https://t.me/writeup_ctf/783)
#Easy #Misc #OSINT
🌊 Цунами дедлайнов
(https://t.me/writeup_ctf/793)
#Easy #Web
🌈🎛 Кислотный ретровейв
(https://t.me/writeup_ctf/786)
#Easy #Web
🌴💰 Пальма с биткоинами
(https://t.me/writeup_ctf/785)
#Easy #Web #JS
👨💻🏖 Разработчик на пляже
(https://t.me/writeup_ctf/790)
#Medium #Infra #Dev #Pentest
🎵🌀 Вихрь рик-ролла
(https://t.me/writeup_ctf/789)
#Medium #Web #Logic
🐺🌊 Шакализация волны
(https://t.me/writeup_ctf/788)
#Medium #Web #OAuth #Client
📹🚁 Десант блогеров
(https://t.me/writeup_ctf/787)
#Medium #Web #Logic
🌇🛠 Фиксы в лучах заката
(https://t.me/writeup_ctf/792)
#Hard #Forensics #Linux #Infra #LPE
🥒😈 Дикий огурец
(https://t.me/writeup_ctf/791)
#Hard #Pwn #Python
🏍⚡️ Непослушный мотоциклист
(https://t.me/writeup_ctf/795)
#Hard #Coding #Reverse #Network
🧱🔙 Возвращение стены
(https://t.me/writeup_ctf/794)
#Hard #Web #Client
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤3