مضى على الشبكة و يوم من العطاء.

شرح أداة Volatility في التحقيق الجنائي (2)

H4x0r

H4x0r

./ عضو

السمعة:

السلام عليكم ورحمة الله وبركاته
في الجزء الثاني المفروض إنك قرأت الجزء الأول وكتبت الإضافات اللي استخدمتها, وكل إضافة شو وظيفتها, وهذا الـ lab رح يكون ممتع بعض الشيء 🔥

1700513052234.jpeg

Description

One of the clients of our company, lost the access to his system due to an unknown error. He is supposedly a very popular “environmental” activist. As a part of the investigation, he told us that his go to applications are browsers, his password managers etc. We hope that you can dig into this memory dump and find his important stuff and give it back to us.​
أنقر للتوسيع...
Note: This challenge is composed of 3 flags
زي ما تعودنا, نفهم السيناريو عشان تعرف وين بدك تروح
  • هو ناشط اله شعبية
  • كان يستخدم متصفح
  • بستخدم برنامج لتخزين كلمات المرور

تمام خلونا نبلش وكالعادة أول شيء بدنا نشوف شو العمليات يلي كانت شغالة .
1- الخطو الأولى بدنا نحدد OS profile للـ memory dump يلي عندي وحكينا كيف. (imageinfo)

1700513074042.png

زي ما حكينا طلعلي أكثر من profile بس رح آخذ أول واحد بكفي .

2- الآن بعد ما طلعت OS profile , بقدر أبلش أول خطوة في التحقيق, بدي أشوف العمليات الي كانت شغالة في RAM و نشوف من وين رح نبدأ. (Pslist)

هي العمليات يلي طلعت :

1700513083590.png

وهيه كثيرة بس أنا بدي اركز على بعض الأمور منها, ويلي هي :

1700513091126.png
ليش أنا ركزت على الشغلتين هدول, السبب إنه في وصف التحدي أو السيناريو حكالك هو بستخدم متصفح و Chrome ممكن نلاقي فيه شيء, والشغلة الثانية بعد ما بحثت لقيت إنه KeepPass هو برنامج من مايكروسوفت لإدارة كلمات السر, لذلك ركز عليهم يا ريت تكتبتهم على ورقة أو nots .

خلونا نبلش في keepPass بنشوف شو بملك:
هو مكان لإدارة كلمات المرور, يعني كلمات مرور تبعت صاحب الجهاز كلها رح تكون مُخزنة في هذا البرنامج, في البداية حاولت الاقي طريقة ابحث عن شيء بخص البرنامج بس ما لقيت, بحث في جوجل كيف بخزن وجدت إنه بخزن في ملف امتداده kdbx. لذلك قررت ابحث عن ملف امتداده kdbx , طيب نتذكر مع بعض كيف ببحث عن ملف ؟؟؟
[SIZE=5][B][COLOR=rgb(19, 182, 41)]filescan[/COLOR][/B][/SIZE]

1700513100345.png

أعطاني ملف واحد وأعطاني وين مخزن, تمام بدي أسحب هذا الملف وأشوف شو فيه, برضو في المقال السابق شرحنا كيف :

1700513106273.png

خلينا نشوفه :

1700513110741.png
خلينا نشوف شو نحط الإمتداد عشان نزبطه :

1700513116221.png
مش رح يفتح في linux كونه هو من مايكروسوفت لازم يفتح في win خلونا نشوف .

نزلت برنامج KeepPass عشان أقدر أفتح الملف :
1700513121649.png

1700513126499.jpeg

بده باسوورد ,فأنا هون صفنت ههههه شو قررت اعمل؟ أبحث عن أي file بحمل كلمة passwrod خلينا نشوف النتيجة يلي رح تطلع .

1700513134364.png

إذا بتلاحظ في صورة png مشكك فيها, وكونك بتحل CTF أكيد أكيد هون الباسورد هههه, خلينا نسحبها .

1700513138955.png

تم, خلينا نفتح الصورة :
P4SSw0rd_123

1700513145071.png

خلونا نفتح KeePass :

1700513159224.png

1700513163610.png

هي flag -1
flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!}
أنقر للتوسيع...

خلونا نروح نشوف chrome, طبعًا في المنطق لما بدك تحقق في متصفح بدك الـ History , في إضافة خاصة في chrome بتعرضلك histoty بس ما رح نستخدمها لإنه إحنا بدنا نفهم ونتعلم تكنيك مش تولز وإضافات, نلاقي الحل , طيب فكر معي شو بدي أعمل ؟؟ بدي أبحث عن ملف history أشوف شو بطلعلي .

1700513188593.png

طلعلي كثير ههه بس بهمني واحد, خلينا نسحبه ونشوفه.

1700513196565.png


ايوا طلعلي DB خلينا نشوف على شو كان يبحث .

1700513201709.png

رحلتنا طويلة هههههههه خلونا نشوف شيء مهم
بعد رحلة بحث لقيته زاير mega:

1700513207639.png

أخذت الرابط وزرته عشان أشوف شو كان بده ينزل.

1700513216608.png

امم اسم الملف كونك بتلعب CTF هههه هي flag هون .

ملاحظة : بحل التحدي معكم وأنا بكتب مش حاله قبل هي مرة هههه .

خلونا ننزله ونشوف شو فيه

1700513222124.png

ههه حاب يعذبناا شكله , بعد 10 د لف و دوران ههههه اكتشفت شغلة هههه:

1700513227298.png

الباسورد عبارة عن flag 3 من المقال السابق يلي هو LAB 1 ههههه :

كود: 
$ echo -n flag{w3ll_3rd_stage_was_easy} | sha1sum
6045dd90029719a039fd2d2ebcca718439dd100a
1700513237038.png
هي flag-2
flag{oK_So_Now_St4g3_3_is_DoNE!!}
أنقر للتوسيع...

طيب ضل flag مش هما المفروض 3 …
بعد بحث بحث بحث في بل وصف environmental هاي الكلمة طعت hint , إنه بحث في التغيرات البيئية يلي موجوة في الذاكرة

الناتج سيكون عبارة عن استخراج للمتغيرات البيئية (Environment Variables) من ذاكرة النظام. هذه المتغيرات البيئية تحمل معلومات مهمة حول البيئة والنظام، ويمكن أن تكون مفيدة في التحقيقات الرقمية لتحليل الهجمات أو البرامج الضارة.

بدنا نستخدم إضافة envars, طبعًا رح يطلع كثير شغلات وبدك تدقق :

1700513244046.png

طبعًا هذا 1% من المخرجات ههههه . ثواني أدور على شي…
لاحظت في varible اسمه NEW_TMP وبعطيني نص مشفر base64 …

1700513249786.png
متشابهات كلهم يعني لو أخدنا 1 وفكينا تشفيره بتلاقي الأشي المهم.
كود: 
$ echo ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9 | base64 -d
flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}
وهي ال flag >>>

طبعًا بس بدي أذكر بعيدًا عن حل CTF , بدي تكون ماشي معي بفهم كيف نبحث كيف نسحب ملفات كيف ندور في المتصفح, يعني ممكن يكون شخص عندك بشركة نزل برنامج ضار من متصفح ممكن بنفس الأسلوب يلي عملناه اليوم تشوف على شو كان يبحث وتشوف البرنامج يلي نزله فهمت علي كيف؟!
 
التعديل الأخير بواسطة المشرف:
الصمت في حرم الجمال جمال ❤️

الله يعطيك الف عافيه وربنا يزيدك ويباركلك بعلمك ❤️
 
  • Like
التفاعلات: H4x0r
STORM قال:
الصمت في حرم الجمال جمال ❤️

الله يعطيك الف عافيه وربنا يزيدك ويباركلك بعلمك ❤️
أنقر للتوسيع...
في مشكلة في مشاهدة المرفق، بعطيني ليس لديك صلاحية
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.

آخر المشاركات

الأعضاء المتصلون

المجموع: 65 (الأعضاء: 2, الزوار: 63)

إحصائيات المنتدى

المواضيع
3,317
المشاركات
16,092
الأعضاء
5,239
آخر عضو مسجل
the king

إعلانات

عودة
أعلى