Gönül POLAT tarafından yazılmıştır.
Herkese Merhaba, bugün tryhackme platformunda bulunan Disk Analysis & Autopsy odasını çözeceğiz. Bir disk imajını Autopsy yazılımı ile incelememiz isteniyor. İçerisinde bir disk imajı bulunduran bir sanal Windows başlatıp onun üzerinden Autopsy yazılımını kullanıyoruz.
Disk Analysis & Autopsy room; https://www.tryhackme.com/room/autopsy2ze0
Start Machine diyerek makineyi başlatıyoruz. Masaüstünde Autopsy yazılımını ve Case dosyanı görüyoruz.
Autopsy > Open Case > Case File(browse)
1. What is the MD5 hash of the E01 image? (E01 imajın MD5 hashi nedir?)
İmajın meta datasından bu bilgiyi edinebiliriz.
Cevap: 3f08c518adb3b5c1359849657a9b2079
2. What is the computer account name? (Bilgisayar hesap adı nedir?)
Operating System Information kısmında sorumuzun cevabını buluyoruz.
Cevap: DESKTOP-0R59DJ3
3. List all the user accounts. (alphabetical order) (Tüm kullanıcı hesaplarını listeleyin.)
Operating System User Account bölümünde kullanıcı hesaplarının isimlerini görüyoruz.
Cevap: H4S4N, joshwa, keshav, sandhya, shreya, sivapriya, srini, suba
4. Who was the last user to log into the computer?( Bilgisayara en son kim giriş yaptı?)
Cevap: sivapriya
5. What was the IP address of the computer? (Bilgisayarın IP adresi neydi?)
İP adresi gibi bilgileri elde etmek için program files(x86) dosyaları içerisinde Look@LAN programının dosyalarına bakmamız yeterlidir. Look@LAN bir network izleme programıdır.
Cevap: 192.168.130.216
6. What was the MAC address of the computer? (XX-XX-XX-XX-XX-XX) (Bilgisayarın MAC adresi neydi?)
Cevap: 08–00–27–2c-c4-b9
7. Name the network cards on this computer? ( Bilgisayardaki ağ kartının adı?)
Bunun için sağ üstte Keyword Search üzerinden Ethernet kelimesini aratıyoruz. Karşımıza PC’nin Ethernet kartı ile ilgili bir bilgi çıkıyor.
Cevap: Intel(R) PRO/1000 MT Desktop Adapter
8. What is the name of the network monitoring tool? ( Ağ izleme toolunun adı nedir?)
IP ve MAC bilgilerini elde ettiğimiz soruda aslında ağ izleme toolunu keşfetmiş olduk. Yine de indirilen programlar üzerinden bakalım.
Cevap: Look@LAN
9. A user bookmarked a Google Maps location. What are the coordinates of the location? ( Bir kullanıcı bir Google Haritalar konumuna yer işareti koydu. Yerin koordinatları nelerdir?)
Bu bilgiyi web bookmarker sekmesinden elde edebiliriz.
Cevap: 12°52’23.0″N 80°13’25.0″E
10. A user has his full name printed on his desktop wallpaper. What is the user’s full name? (Bir kullanıcının tam adı masaüstü duvar kağıdına yazılıdır. Kullanıcının tam adı nedir?)
Images/Videos bölümünden kullanıcıların tek tek resim dosyalarına bakıyoruz. Joshwa kullanıcının resim dosyasında bir şeyler yazılı duruyor. Sağ tıklayıp extract file diyerek resimleri kendi bilgisayarımıza çıkarıp inceliyoruz.
Cevap: anto joshwa
11. A user had a file on her desktop. It had a flag but she changed the flag using PowerShell. What was the first flag? Bir kullanıcının masaüstünde bir dosyası vardı. Bir flag vardı ama flagi PowerShell kullanarak değiştirdi. İlk bayrak neydi?)
Her kullanıcı için PowerShell geçmiş dosyasını kontrol ederek değiştirilmiş flag değerini arıyoruz.
Data Sources > HASAN2.E01 > Vol3 > Users > shreya > AppData > Roaming > Microsoft > Windows > PowerShell > PSReadLine > ConsoleHost_history.txt
Cevap: flag{HarleyQuinnForQueen}
12. The same user found an exploit to escalate privileges on the computer. What was the message to the device owner? (Aynı kullanıcı, bilgisayarda ayrıcalıkları yükseltmek için bir exploit buldu. Cihaz sahibine mesaj neydi?)
Shreya kullanıcısının Desktop dosyalarını inceleyerek bir “exploit.ps1” buluyoruz.
Cevap: Flag{I-hacked-you}
13. Two hack tools focused on passwords were found in the system. What are the names of these tools? (alphabetical order) (Sistemde şifre odaklı iki hack aracı bulundu. Bu araçların isimleri nelerdir?)
Hack toollarını Windows Defender’ın bulma ihtimali çok yüksektir. O yüzden Windows Defender dosyalarına bakıyoruz.
Cevap: lazagne, mimikatz
14.There is a YARA file on the computer. Inspect the file. What is the name of the author? (Bilgisayarda bir YARA dosyası var. Dosyayı inceleyin. Yazarın adı nedir?)
Keyword Search yaparak “.yar “ uzantılı dosya aratmak işimizi daha kolaylaştırır. Bu aramayı yaptımızda bir H4S4N kullanıcısının indirdiği dosyalar içerisinde buluyoruz.
Cevap: Benjamin DELPY (gentilkiwi)
15. One of the users wanted to exploit a domain controller with an MS-NRPC based exploit. What is the filename of the archive that you found? (include the spaces in your answer) (Kullanıcılardan biri, MS-NRPC tabanlı bir exploite sahip bir etki alanı denetleyicisinden yararlanmak istedi. Bulduğunuz arşivin dosya adı nedir?)
MS-NRPC tabanlı exploiti Google Search ile araştırdığımızda karşımıza Zerologon güvenlik açığı çıkıyor. Bu güvenlik açığı, Microsoft’s Active Directory Netlogon Remote Protocol (MS-NRPC)’deki bir şifreleme kusurundan yararlanır. Microsoft’un Netlogon işleminin şifrelemesinde Microsoft Active Directory etki alanı denetleyicilerine karşı bir saldırıya izin veren bir güvenlik açığıdır.
Zerologon kelimesini keyword search yapıyoruz. Recent Documents bölümünde Zerologon ile ilgili bir doküman buluyoruz.
Cevap: 2.2.0 20200918 Zerologon encrypted
Bir sonraki yazıda görüşmek üzere.
[TR] Disk Analysis & Autopsy TryHackMe Writeup
Herkese Merhaba, bugün tryhackme platformunda bulunan Disk Analysis & Autopsy odasını çözeceğiz. Bir disk imajını Autopsy yazılımı ile incelememiz isteniyor. İçerisinde bir disk imajı bulunduran bir sanal Windows başlatıp onun üzerinden Autopsy yazılımını kullanıyoruz.
Disk Analysis & Autopsy room; https://www.tryhackme.com/room/autopsy2ze0
Start Machine diyerek makineyi başlatıyoruz. Masaüstünde Autopsy yazılımını ve Case dosyanı görüyoruz.
Autopsy > Open Case > Case File(browse)
1. What is the MD5 hash of the E01 image? (E01 imajın MD5 hashi nedir?)
İmajın meta datasından bu bilgiyi edinebiliriz.
Cevap: 3f08c518adb3b5c1359849657a9b2079
2. What is the computer account name? (Bilgisayar hesap adı nedir?)
Operating System Information kısmında sorumuzun cevabını buluyoruz.
Cevap: DESKTOP-0R59DJ3
3. List all the user accounts. (alphabetical order) (Tüm kullanıcı hesaplarını listeleyin.)
Operating System User Account bölümünde kullanıcı hesaplarının isimlerini görüyoruz.
Cevap: H4S4N, joshwa, keshav, sandhya, shreya, sivapriya, srini, suba
4. Who was the last user to log into the computer?( Bilgisayara en son kim giriş yaptı?)
Cevap: sivapriya
5. What was the IP address of the computer? (Bilgisayarın IP adresi neydi?)
İP adresi gibi bilgileri elde etmek için program files(x86) dosyaları içerisinde Look@LAN programının dosyalarına bakmamız yeterlidir. Look@LAN bir network izleme programıdır.
Cevap: 192.168.130.216
6. What was the MAC address of the computer? (XX-XX-XX-XX-XX-XX) (Bilgisayarın MAC adresi neydi?)
Cevap: 08–00–27–2c-c4-b9
7. Name the network cards on this computer? ( Bilgisayardaki ağ kartının adı?)
Bunun için sağ üstte Keyword Search üzerinden Ethernet kelimesini aratıyoruz. Karşımıza PC’nin Ethernet kartı ile ilgili bir bilgi çıkıyor.
Cevap: Intel(R) PRO/1000 MT Desktop Adapter
8. What is the name of the network monitoring tool? ( Ağ izleme toolunun adı nedir?)
IP ve MAC bilgilerini elde ettiğimiz soruda aslında ağ izleme toolunu keşfetmiş olduk. Yine de indirilen programlar üzerinden bakalım.
Cevap: Look@LAN
9. A user bookmarked a Google Maps location. What are the coordinates of the location? ( Bir kullanıcı bir Google Haritalar konumuna yer işareti koydu. Yerin koordinatları nelerdir?)
Bu bilgiyi web bookmarker sekmesinden elde edebiliriz.
Cevap: 12°52’23.0″N 80°13’25.0″E
10. A user has his full name printed on his desktop wallpaper. What is the user’s full name? (Bir kullanıcının tam adı masaüstü duvar kağıdına yazılıdır. Kullanıcının tam adı nedir?)
Images/Videos bölümünden kullanıcıların tek tek resim dosyalarına bakıyoruz. Joshwa kullanıcının resim dosyasında bir şeyler yazılı duruyor. Sağ tıklayıp extract file diyerek resimleri kendi bilgisayarımıza çıkarıp inceliyoruz.
Cevap: anto joshwa
11. A user had a file on her desktop. It had a flag but she changed the flag using PowerShell. What was the first flag? Bir kullanıcının masaüstünde bir dosyası vardı. Bir flag vardı ama flagi PowerShell kullanarak değiştirdi. İlk bayrak neydi?)
Her kullanıcı için PowerShell geçmiş dosyasını kontrol ederek değiştirilmiş flag değerini arıyoruz.
Data Sources > HASAN2.E01 > Vol3 > Users > shreya > AppData > Roaming > Microsoft > Windows > PowerShell > PSReadLine > ConsoleHost_history.txt
Cevap: flag{HarleyQuinnForQueen}
12. The same user found an exploit to escalate privileges on the computer. What was the message to the device owner? (Aynı kullanıcı, bilgisayarda ayrıcalıkları yükseltmek için bir exploit buldu. Cihaz sahibine mesaj neydi?)
Shreya kullanıcısının Desktop dosyalarını inceleyerek bir “exploit.ps1” buluyoruz.
Cevap: Flag{I-hacked-you}
13. Two hack tools focused on passwords were found in the system. What are the names of these tools? (alphabetical order) (Sistemde şifre odaklı iki hack aracı bulundu. Bu araçların isimleri nelerdir?)
Hack toollarını Windows Defender’ın bulma ihtimali çok yüksektir. O yüzden Windows Defender dosyalarına bakıyoruz.
Cevap: lazagne, mimikatz
14.There is a YARA file on the computer. Inspect the file. What is the name of the author? (Bilgisayarda bir YARA dosyası var. Dosyayı inceleyin. Yazarın adı nedir?)
Keyword Search yaparak “.yar “ uzantılı dosya aratmak işimizi daha kolaylaştırır. Bu aramayı yaptımızda bir H4S4N kullanıcısının indirdiği dosyalar içerisinde buluyoruz.
Cevap: Benjamin DELPY (gentilkiwi)
15. One of the users wanted to exploit a domain controller with an MS-NRPC based exploit. What is the filename of the archive that you found? (include the spaces in your answer) (Kullanıcılardan biri, MS-NRPC tabanlı bir exploite sahip bir etki alanı denetleyicisinden yararlanmak istedi. Bulduğunuz arşivin dosya adı nedir?)
MS-NRPC tabanlı exploiti Google Search ile araştırdığımızda karşımıza Zerologon güvenlik açığı çıkıyor. Bu güvenlik açığı, Microsoft’s Active Directory Netlogon Remote Protocol (MS-NRPC)’deki bir şifreleme kusurundan yararlanır. Microsoft’un Netlogon işleminin şifrelemesinde Microsoft Active Directory etki alanı denetleyicilerine karşı bir saldırıya izin veren bir güvenlik açığıdır.
Zerologon kelimesini keyword search yapıyoruz. Recent Documents bölümünde Zerologon ile ilgili bir doküman buluyoruz.
Cevap: 2.2.0 20200918 Zerologon encrypted
Bir sonraki yazıda görüşmek üzere.
Moderatör tarafında düzenlendi: