FTP (Part 1)
Итак, начнем разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018
Небольшое предисловие:
В CTF forensic является одной из сложных категорий заданий, сравнимой с PWN. Эта категория охватывает довольно обширные категории знаний:
- Программирование
- ОС (Windows, *Nix,)
- ФС (FAT, NTFS, Ext, etc.)
- Специфика типов файлов (JPEG, ELF, WAV, etc.)
- Сети (как минимум стек протоколов TCP/IP)
- Криптография
- Стеганография
- RE
- OSINT (Open Source INTelligence)
Виды задач, встречающиеся в тасках CTF:
- Восстановление данных (в том числе и удаленных)
- Анализ логов (журналы аудита, лог-файлы программ)
- Анализ сетевого трафика
- Поиск информации из открытых источников
Задачи могут перемежаться между собой, а также быть усложнены другими категориями знаний (криптография, RE, вирусология).
Каких-либо универсальных методов решения тасков категории forensic нет. Никогда не знаешь, что тебе за инцидент попадется и как тебе с ним справляться.
Можно лишь выработать стратегию решения, например:
- Что за объект мы имеем?
- Какие особенности имеет тип объекта?
- Какие отличия имеет объект от эталонного типа объекта?
- Какие методы решения существуют?
Эту стратегию следует зациклить до тех пор, пока задача не будет решена. Например, в исходных данных мы имеем дамп сетевого трафика. Проанализировав его, мы определили, что там передавались какие-то данные. После успешного (или не очень) извлечения мы получаем новый объект. Мы снова анализируем, что это за объект, какие он имеет особенности, что с ним не так и что с этим дальше делать.
Инструменты для решения задач forensic:
- Сетевые утилиты (Wireshark, Tshark, Scapy)
- Файловые утилиты (file, head, hex-редакторы)
- Утилиты для работы с ФС (TSK, Foremost, Autopsy)
- Крипто-утилиты (Cryptool)
- Графические редакторы (GIMP, PS)
- Аудиоредакторы (Audacity, AU)
- Языки программирования (Python, C)
Сразу оговорюсь, организаторами было предусмотрено 2 ПК для прохождения CTF, без доступа к интернету, а так же шпаргалка в виде списка необходимого софта предустановленного на стендовых ПК для прохождения, stegsolve.jar, а так же урезанный словарь RockYou (~400 строк).
Sonic-visuality Steghide XnConvert Hashcat XnViewMP
Первое задание которое бросилось в глаза — pcap файл содержащий обмен данными «Дарта Вейдера» по FTP сервером. (самое простое задание)
По легенде:
«Задание: FTP — authentication
Points: 5
Описание: В ходе аутентифицированного обмена файлами, Дарт Вейдер засветил свои интим фоточки. Нам удалось совершить дамп передачи пакетов, возможно там сохранились креды…»
Интуитивно, открываем Wireshark и ищем креды
Кто знаком с Wireshark’ом знает что нужно лишь выбрать поток данных чтобы отследить нужную инфу…
Немного времени и внимательности — и Вот и наш флаг: cdts3500
!Если Вам понравилась эта статья, присоединяйтесь к нам на Телеграм канал, всегда будете на волне всего самого интересного!
Присоединяйтесь… пользователей