مضى على الشبكة و يوم من العطاء.

[ شرح ] حل تحديات forensic في مسابقة TTU CTF v1.5

shadow

shadowshadow is verified member.

{ | مشرف قسم لغات البرمجة | }
.:: طاقم المشرفين ::.
.:: كاتب تقني ::.
مٌشرف مُميز

السمعة:

بسم الله الرحمن الرحيم
بداية هذا شرح لتحديات forensic الخاصة بجامعة الطفيلة (TTU CTF v1.5) وفيها اغلب الأسئلة وليست جميعها وهناك طرق حل كثيرة وهذه احدها 🤗
S3CR3T
أول سؤال بحكيلنا انه في سر بالصورة فأول اشي بنجربه strings
1723737412743.webp

وبطلع معنا flag بشكل مباشر
1723737437932.webp
C0RR
السؤال بحكيلنا انه عبارة عن صورة لكنها مضروبة او بشكل اصح تم التعديل عليها
في هيك احوال اول اشي بنتأكد منه هو hex الخاص بالصورة اذا كان مكتوب بشكل صحيح او لا

1723738075658.webp

بنلاحظ انه head الخاص بالصورة مكتوب بشكل غير صحيح فبنحتاج نعدل عليه فأول اشي بنحتاج نشوف ايش header الخاص ب png

1723738200397.webp

بنعدل header ليصبح هكذا وبنحفظه
1723738263437.webp

وبطلع معنا flag
1723738296210.webp
1 pcap
1- بده ip الخاص بالمهاجم ؟
2- ip الي طلعته من أي مدينة ؟

بنلاحظ في عمليات إرسال كثير ففعليًا عنا bruteforce attack فلهيك بدنا نطلع الأكثر إرسالًا للطلبات (requests)

بالنسبة للسؤال الأول في اكثر من طريقة ومن أحد هاي الطرق نشوف احصائيات
بنروح على statistics بعديها conversations
1723740280316.webp

بتروح على tcp مشان نشوف المحادثة ومن ببعث للثاني وتفاصيل كثير

1723740472224.webp

منلاحظ اكثر ip ببعث هو 14.0.0.120
بالنسبة للسؤال الثاني بنسخدم أي موقع لفحص ip مثل iplocation وبنلاحظ طلعنا كل التفاصيل الخاصة ب ip ومنها المدينة
1723740631085.webp
2 pcap
1- ما هي الأداة التي استحدمها المهاجم للهجوم ؟
2- ما هو port الذي استطاع بواسطته المهاجم الوصول ل admin panel ؟

بالنسبة للسؤال الأول فبشكل سريع يمكن نبحث عن packet الخاصة ب ip

1723741162462.webp
بعدها بنبحث في user agent عن اداة مثل nmap وغيرها لانه لما تعمل هي فعليا بتسوي brutefore .............
1723741278523.webp
بنلاحظ انه وجدنا الأداة الي هي gobuster ;)
بالنسبة للسؤال الثاني بنلاحظ انه port مكتوب تحت 8080
1723741384323.webp
3 pcap
1- ما هي الصفحة المستخدم التي استخدمها المهاجم لرفع الملف ؟
2- ما هو اسم المستخدم وكلمة السر الخاصة ب admin ؟

خلينا نبلش بالسؤال الثاني قبل الاول

طيب مشان يفوت اي مستخدم فعليا بده يعمل post او بمعنى اخر إرسال معلومات للموقع وبما انه بنحكي عن موقع فرح يكون http
بناءا على ما سبق يمكن نفلتر البحث على الإرسال فقط
1723743095567.webp

اذا شفنا تفاصيل packet بنلاحظ كلمة السر وأسم المستخدم
1723743970428.webp
بنرجع للسؤال الأول لو نتبع packet الي احنا فيه من خلال follow --> tcp stream

1723744237273.webp
برجع للسؤال الأول وبنلاحظ رفع ملف في manager

1723744328594.webp
4 pcap
1- اسم الملف الي رفعه المهاجم؟
2- ما هو الأمر الذي استعمله لجعله يعمل بشكل مستمر ؟

بالنسبة لأسم الملف بنلاحظ انه موجود في نفس stream الي حلينا عليه سابقا
1723744743905.webp

بالنسبة للكوماند بنلاحظ انه موجود بالستريم الي بعديه

1723744788769.webp
H4X0R
1- ما هو product name ؟
2- ما هو اسم المستخدم ؟

بنلاحظ لو بحثنا current version بتقدر نطلع جميع المعلومات .............
1723745138925.webp
الأدوات المستخدمة :
wireshark , Registry Explorer

بتمنى الشرح يكون مفيد 🫡
 

المرفقات

  • 1723743300560.webp
    1723743300560.webp
    313.7 KB · المشاهدات: 123
التعديل الأخير:
يعطيك العافيه يخوي ملك الفورنزكس
 
الله يعطيك العافيه، فخم اخوي 🤍❤️
 
shadow قال:
بسم الله الرحمن الرحيم
بداية هذا شرح لتحديات forensic الخاصة بجامعة الطفيلة (TTU CTF v1.5) وفيها اغلب الأسئلة وليست جميعها وهناك طرق حل كثيرة وهذه احدها 🤗
S3CR3T
أول سؤال بحكيلنا انه في سر بالصورة فأول اشي بنجربه strings
مشاهدة المرفق 12506
وبطلع معنا flag بشكل مباشر
مشاهدة المرفق 12507
C0RR
السؤال بحكيلنا انه عبارة عن صورة لكنها مضروبة او بشكل اصح تم التعديل عليها
في هيك احوال اول اشي بنتأكد منه هو hex الخاص بالصورة اذا كان مكتوب بشكل صحيح او لا

مشاهدة المرفق 12510
بنلاحظ انه head الخاص بالصورة مكتوب بشكل غير صحيح فبنحتاج نعدل عليه فأول اشي بنحتاج نشوف ايش header الخاص ب png

مشاهدة المرفق 12511
بنعدل header ليصبح هكذا وبنحفظه
مشاهدة المرفق 12512
وبطلع معنا flag
مشاهدة المرفق 12513
1 pcap
1- بده ip الخاص بالمهاجم ؟
2- ip الي طلعته من أي مدينة ؟

بنلاحظ في عمليات إرسال كثير ففعليًا عنا bruteforce attack فلهيك بدنا نطلع الأكثر إرسالًا للطلبات (requests)

بالنسبة للسؤال الأول في اكثر من طريقة ومن أحد هاي الطرق نشوف احصائيات
بنروح على statistics بعديها conversations
مشاهدة المرفق 12518
بتروح على tcp مشان نشوف المحادثة ومن ببعث للثاني وتفاصيل كثير

مشاهدة المرفق 12520
منلاحظ اكثر ip ببعث هو 14.0.0.120
بالنسبة للسؤال الثاني بنسخدم أي موقع لفحص ip مثل iplocation وبنلاحظ طلعنا كل التفاصيل الخاصة ب ip ومنها المدينة
مشاهدة المرفق 12522
2 pcap
1- ما هي الأداة التي استحدمها المهاجم للهجوم ؟
2- ما هو port الذي استطاع بواسطته المهاجم الوصول ل admin panel ؟

بالنسبة للسؤال الأول فبشكل سريع يمكن نبحث عن packet الخاصة ب ip
بعدها بنبحث في user agent عن اداة مثل nmap وغيرها لانه لما تعمل هي فعليا بتسوي brutefore .............
بنلاحظ انه وجدنا الأداة الي هي gobuster ;)
بالنسبة للسؤال الثاني بنلاحظ انه port مكتوب تحت 8080
3 pcap
1- ما هي الصفحة المستخدم التي استخدمها المهاجم لرفع الملف ؟
2- ما هو اسم المستخدم وكلمة السر الخاصة ب admin ؟

خلينا نبلش بالسؤال الثاني قبل الاول

طيب مشان يفوت اي مستخدم فعليا بده يعمل post او بمعنى اخر إرسال معلومات للموقع وبما انه بنحكي عن موقع فرح يكون http
بناءا على ما سبق يمكن نفلتر البحث على الإرسال فقط
مشاهدة المرفق 12527
اذا شفنا تفاصيل packet بنلاحظ كلامة السر وأسم المستخدم
مشاهدة المرفق 12529
بنرجع للسؤال الأول لو نتبع packet الي احنا فيه من خلال follow --> tcp stream
برجع للسؤال الأول وبنلاحظ رفع ملف في manager
4 pcap
1- اسم الملف الي رفعه المهاجم؟
2- ما هو الأمر الذي استعمله لجعله يعمل بشكل مستمر ؟

بالنسبة لأسم الملف بنلاحظ انه موجود في نفس stream الي حلينا عليه سابقا
مشاهدة المرفق 12532
بالنسبة للكوماند بنلاحظ انه موجود بالستريم الي بعديه

مشاهدة المرفق 12533
H4X0R
1- ما هو product name ؟
2- ما هو اسم المستخدم ؟

بنلاحظ لو بحثنا current version بتقدر نطلع جميع المعلومات .............
الأدوات المستخدمة :
wireshark , Registry Explorer

بتمنى الشرح يكون مفيد 🫡
أنقر للتوسيع...
يعطيك الف الف عافية يا اخي واستاذي الكريم, بصراحة وبجد اني هي اول مرة بعرف بهالمعلومة
انه يمكنك معرفة الاداة يلي عم يتم مهاجمتك فيه, بارك الله ورفع من مقامكم ومكانتكم في الجنة وعند الله إن شاء الله 🌹
 
r00tki113r قال:
يعطيك الف الف عافية يا اخي واستاذي الكريم, بصراحة وبجد اني هي اول مرة بعرف بهالمعلومة
انه يمكنك معرفة الاداة يلي عم يتم مهاجمتك فيه, بارك الله ورفع من مقامكم ومكانتكم في الجنة وعند الله إن شاء الله 🌹
أنقر للتوسيع...
الله يعافيك ❤️❤️❤️
 
ما شاء الله بارك الله فيك وجزاك الله كل خير حبيبنا
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.

آخر المشاركات

الأعضاء المتصلون

المجموع: 53 (الأعضاء: 2, الزوار: 51)

إحصائيات المنتدى

المواضيع
3,239
المشاركات
15,873
الأعضاء
5,058
آخر عضو مسجل
mammasai

إعلانات

عودة
أعلى