ANTICHAT - CTF для новичков KHS 2018 (Part 1)

Небольшое предисловие:

В CTF forensic является одной из сложных категорий заданий, сравнимой с PWN. Эта категория охватывает довольно обширные категории знаний:

Программирование
ОС (Windows, *Nix,)
ФС (FAT, NTFS, Ext, etc.)
Специфика типов файлов (JPEG, ELF, WAV, etc.)
Сети (как минимум стек протоколов TCP/IP)
Криптография
Стеганография
RE
OSINT (Open Source INTelligence)

Виды задач, встречающиеся в тасках CTF:

Восстановление данных (в том числе и удаленных)
Анализ логов (журналы аудита, лог-файлы программ)
Анализ сетевого трафика
Поиск информации из открытых источников

Задачи могут перемежаться между собой, а также быть усложнены другими категориями знаний (криптография, RE, вирусология).

Каких-либо универсальных методов решения тасков категории forensic нет. Никогда не знаешь, что тебе за инцидент попадется и как тебе с ним справляться.

Можно лишь выработать стратегию решения, например:

Что за объект мы имеем?
Какие особенности имеет тип объекта?
Какие отличия имеет объект от эталонного типа объекта?
Какие методы решения существуют?

Эту стратегию следует зациклить до тех пор, пока задача не будет решена. Например, в исходных данных мы имеем дамп сетевого трафика. Проанализировав его, мы определили, что там передавались какие-то данные. После успешного (или не очень) извлечения мы получаем новый объект. Мы снова анализируем, что это за объект, какие он имеет особенности, что с ним не так и что с этим дальше делать.

Инструменты для решения задач forensic:

Сетевые утилиты (Wireshark, Tshark, Scapy)
Файловые утилиты (file, head, hex-редакторы)
Утилиты для работы с ФС (TSK, Foremost, Autopsy)
Крипто-утилиты (Cryptool)
Графические редакторы (GIMP, PS)
Аудиоредакторы (Audacity, AU)
Языки программирования (Python, C)

Сразу оговорюсь, организаторами было предусмотрено 2 ПК для прохождения CTF, без доступа к интернету, а так же шпаргалка в виде списка необходимого софта предустановленного на стендовых ПК для прохождения, stegsolve.jar, а так же урезанный словарь RockYou (~400 строк).

Sonic-visuality
Steghide
XnConvert
Hashcat
XnViewMP

FTP (Part 1)
Итак, начнем разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ - KazHackStan 2018
Первое задание которое бросилось в глаза - pcap файл содержащий обмен данными "Дарта Вейдера" по FTP сервером. (самое простое задание)

По легенде:
"Задание: FTP - authentication
Points: 5
Описание: В ходе аутентифицированного обмена файлами, Дарт Вейдер засветил свои интим фоточки. Нам удалось совершить дамп передачи пакетов, возможно там сохранились креды..."

Интуитивно, открываем Wireshark и ищем креды

https://forum.antichat.xyz/attachmen...943384d05b.png

Кто знаком с Wireshark'ом знает что нужно лишь выбрать поток данных чтобы отследить нужную инфу...

https://forum.antichat.xyz/attachmen...64dc9f7e2c.png

Немного времени и внимательности - и Вот и наш флаг

https://forum.antichat.xyz/attachmen...be2e49834e.png

https://forum.antichat.xyz/attachmen...8996f9947e.png

Данный таск взят сroot-me и называется он там FTP - authentication
Прошел его для Вас мой друг и коллега Антон.
!Если Вам понравилась эта статья и хотите аналогичные простенькие разборы, прошу ставить пальцы вверх и оставлять комментарии .