[ شرح ] حل تحديات forensic في مسابقة TTU CTF v1.5

[3b0-0d3b0-0d is verified member.]

بسم الله الرحمن الرحيم
بداية هذا شرح لتحديات forensic الخاصة بجامعة الطفيلة (TTU CTF v1.5) وفيها اغلب الأسئلة وليست جميعها وهناك طرق حل كثيرة وهذه احدها ​

---

S3CR3T​

أول سؤال بحكيلنا انه في سر بالصورة فأول اشي بنجربه strings

مشاهدة المرفق 12506
وبطلع معنا flag بشكل مباشر
مشاهدة المرفق 12507​

---

C0RR​

السؤال بحكيلنا انه عبارة عن صورة لكنها مضروبة او بشكل اصح تم التعديل عليها
في هيك احوال اول اشي بنتأكد منه هو hex الخاص بالصورة اذا كان مكتوب بشكل صحيح او لا

مشاهدة المرفق 12510
بنلاحظ انه head الخاص بالصورة مكتوب بشكل غير صحيح فبنحتاج نعدل عليه فأول اشي بنحتاج نشوف ايش header الخاص ب png

مشاهدة المرفق 12511
بنعدل header ليصبح هكذا وبنحفظه
مشاهدة المرفق 12512
وبطلع معنا flag
مشاهدة المرفق 12513​

---

1 pcap​

1- بده ip الخاص بالمهاجم ؟
2- ip الي طلعته من أي مدينة ؟

بنلاحظ في عمليات إرسال كثير ففعليًا عنا bruteforce attack فلهيك بدنا نطلع الأكثر إرسالًا للطلبات (requests)

​

بالنسبة للسؤال الأول في اكثر من طريقة ومن أحد هاي الطرق نشوف احصائيات
بنروح على statistics بعديها conversations
مشاهدة المرفق 12518
بتروح على tcp مشان نشوف المحادثة ومن ببعث للثاني وتفاصيل كثير

مشاهدة المرفق 12520
منلاحظ اكثر ip ببعث هو 14.0.0.120
بالنسبة للسؤال الثاني بنسخدم أي موقع لفحص ip مثل iplocation وبنلاحظ طلعنا كل التفاصيل الخاصة ب ip ومنها المدينة
مشاهدة المرفق 12522​

---

2 pcap​

1- ما هي الأداة التي استحدمها المهاجم للهجوم ؟
2- ما هو port الذي استطاع بواسطته المهاجم الوصول ل admin panel ؟

بالنسبة للسؤال الأول فبشكل سريع يمكن نبحث عن packet الخاصة ب ip

مشاهدة المرفق 12524​

بعدها بنبحث في user agent عن اداة مثل nmap وغيرها لانه لما تعمل هي فعليا بتسوي brutefore .............

مشاهدة المرفق 12525​

بنلاحظ انه وجدنا الأداة الي هي gobuster
بالنسبة للسؤال الثاني بنلاحظ انه port مكتوب تحت 8080

مشاهدة المرفق 12526​

---

3 pcap​

1- ما هي الصفحة المستخدم التي استخدمها المهاجم لرفع الملف ؟
2- ما هو اسم المستخدم وكلمة السر الخاصة ب admin ؟

خلينا نبلش بالسؤال الثاني قبل الاول ​

طيب مشان يفوت اي مستخدم فعليا بده يعمل post او بمعنى اخر إرسال معلومات للموقع وبما انه بنحكي عن موقع فرح يكون http
بناءا على ما سبق يمكن نفلتر البحث على الإرسال فقط
مشاهدة المرفق 12527

اذا شفنا تفاصيل packet بنلاحظ كلمة السر وأسم المستخدم
مشاهدة المرفق 12529​

بنرجع للسؤال الأول لو نتبع packet الي احنا فيه من خلال follow --> tcp stream

مشاهدة المرفق 12530​

برجع للسؤال الأول وبنلاحظ رفع ملف في manager

مشاهدة المرفق 12531​

---

4 pcap​

1- اسم الملف الي رفعه المهاجم؟
2- ما هو الأمر الذي استعمله لجعله يعمل بشكل مستمر ؟

بالنسبة لأسم الملف بنلاحظ انه موجود في نفس stream الي حلينا عليه سابقا
مشاهدة المرفق 12532
بالنسبة للكوماند بنلاحظ انه موجود بالستريم الي بعديه

مشاهدة المرفق 12533​

---

H4X0R​

1- ما هو product name ؟
2- ما هو اسم المستخدم ؟

بنلاحظ لو بحثنا current version بتقدر نطلع جميع المعلومات .............

مشاهدة المرفق 12534​

---

الأدوات المستخدمة :
wireshark , Registry Explorer

بتمنى الشرح يكون مفيد ​

الله يعطيك العافيه علووش

 

[shadowshadow is verified member.]

الله يعطيك العافيه علووش

الله يعافيك عبود

 

[أبو البراءأبو البراء is verified member.]

بسم الله الرحمن الرحيم
بداية هذا شرح لتحديات forensic الخاصة بجامعة الطفيلة (TTU CTF v1.5) وفيها اغلب الأسئلة وليست جميعها وهناك طرق حل كثيرة وهذه احدها ​

---

S3CR3T​

أول سؤال بحكيلنا انه في سر بالصورة فأول اشي بنجربه strings

مشاهدة المرفق 12506
وبطلع معنا flag بشكل مباشر
مشاهدة المرفق 12507​

---

C0RR​

السؤال بحكيلنا انه عبارة عن صورة لكنها مضروبة او بشكل اصح تم التعديل عليها
في هيك احوال اول اشي بنتأكد منه هو hex الخاص بالصورة اذا كان مكتوب بشكل صحيح او لا

مشاهدة المرفق 12510
بنلاحظ انه head الخاص بالصورة مكتوب بشكل غير صحيح فبنحتاج نعدل عليه فأول اشي بنحتاج نشوف ايش header الخاص ب png

مشاهدة المرفق 12511
بنعدل header ليصبح هكذا وبنحفظه
مشاهدة المرفق 12512
وبطلع معنا flag
مشاهدة المرفق 12513​

---

1 pcap​

1- بده ip الخاص بالمهاجم ؟
2- ip الي طلعته من أي مدينة ؟

بنلاحظ في عمليات إرسال كثير ففعليًا عنا bruteforce attack فلهيك بدنا نطلع الأكثر إرسالًا للطلبات (requests)

​

بالنسبة للسؤال الأول في اكثر من طريقة ومن أحد هاي الطرق نشوف احصائيات
بنروح على statistics بعديها conversations
مشاهدة المرفق 12518
بتروح على tcp مشان نشوف المحادثة ومن ببعث للثاني وتفاصيل كثير

مشاهدة المرفق 12520
منلاحظ اكثر ip ببعث هو 14.0.0.120
بالنسبة للسؤال الثاني بنسخدم أي موقع لفحص ip مثل iplocation وبنلاحظ طلعنا كل التفاصيل الخاصة ب ip ومنها المدينة
مشاهدة المرفق 12522​

---

2 pcap​

1- ما هي الأداة التي استحدمها المهاجم للهجوم ؟
2- ما هو port الذي استطاع بواسطته المهاجم الوصول ل admin panel ؟

بالنسبة للسؤال الأول فبشكل سريع يمكن نبحث عن packet الخاصة ب ip

مشاهدة المرفق 12524​

بعدها بنبحث في user agent عن اداة مثل nmap وغيرها لانه لما تعمل هي فعليا بتسوي brutefore .............

مشاهدة المرفق 12525​

بنلاحظ انه وجدنا الأداة الي هي gobuster
بالنسبة للسؤال الثاني بنلاحظ انه port مكتوب تحت 8080

مشاهدة المرفق 12526​

---

3 pcap​

1- ما هي الصفحة المستخدم التي استخدمها المهاجم لرفع الملف ؟
2- ما هو اسم المستخدم وكلمة السر الخاصة ب admin ؟

خلينا نبلش بالسؤال الثاني قبل الاول ​

طيب مشان يفوت اي مستخدم فعليا بده يعمل post او بمعنى اخر إرسال معلومات للموقع وبما انه بنحكي عن موقع فرح يكون http
بناءا على ما سبق يمكن نفلتر البحث على الإرسال فقط
مشاهدة المرفق 12527

اذا شفنا تفاصيل packet بنلاحظ كلمة السر وأسم المستخدم
مشاهدة المرفق 12529​

بنرجع للسؤال الأول لو نتبع packet الي احنا فيه من خلال follow --> tcp stream

مشاهدة المرفق 12530​

برجع للسؤال الأول وبنلاحظ رفع ملف في manager

مشاهدة المرفق 12531​

---

4 pcap​

1- اسم الملف الي رفعه المهاجم؟
2- ما هو الأمر الذي استعمله لجعله يعمل بشكل مستمر ؟

بالنسبة لأسم الملف بنلاحظ انه موجود في نفس stream الي حلينا عليه سابقا
مشاهدة المرفق 12532
بالنسبة للكوماند بنلاحظ انه موجود بالستريم الي بعديه

مشاهدة المرفق 12533​

---

H4X0R​

1- ما هو product name ؟
2- ما هو اسم المستخدم ؟

بنلاحظ لو بحثنا current version بتقدر نطلع جميع المعلومات .............

مشاهدة المرفق 12534​

---

الأدوات المستخدمة :
wireshark , Registry Explorer

بتمنى الشرح يكون مفيد ​

مبدع كالعادة يا شادو
بارك الله فيك
لا تطول غيبات يا بطل