CTF KHS 2018 — FTP (Part 1)

FTP (Part 1)

Итак, начнем разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018

Небольшое предисловие:

В CTF forensic является одной из сложных категорий заданий, сравнимой с PWN. Эта категория охватывает довольно обширные категории знаний:

  • Программирование
  • ОС (Windows, *Nix,)
  • ФС (FAT, NTFS, Ext, etc.)
  • Специфика типов файлов (JPEG, ELF, WAV, etc.)
  • Сети (как минимум стек протоколов TCP/IP)
  • Криптография
  • Стеганография
  • RE
  • OSINT (Open Source INTelligence)

Виды задач, встречающиеся в тасках CTF:

  • Восстановление данных (в том числе и удаленных)
  • Анализ логов (журналы аудита, лог-файлы программ)
  • Анализ сетевого трафика
  • Поиск информации из открытых источников

Задачи могут перемежаться между собой, а также быть усложнены другими категориями знаний (криптография, RE, вирусология).

Каких-либо универсальных методов решения тасков категории forensic нет. Никогда не знаешь, что тебе за инцидент попадется и как тебе с ним справляться.

Можно лишь выработать стратегию решения, например:

  • Что за объект мы имеем?
  • Какие особенности имеет тип объекта?
  • Какие отличия имеет объект от эталонного типа объекта?
  • Какие методы решения существуют?

Эту стратегию следует зациклить до тех пор, пока задача не будет решена. Например, в исходных данных мы имеем дамп сетевого трафика. Проанализировав его, мы определили, что там передавались какие-то данные. После успешного (или не очень) извлечения мы получаем новый объект. Мы снова анализируем, что это за объект, какие он имеет особенности, что с ним не так и что с этим дальше делать.

Инструменты для решения задач forensic:

  • Сетевые утилиты (Wireshark, Tshark, Scapy)
  • Файловые утилиты (file, head, hex-редакторы)
  • Утилиты для работы с ФС (TSK, Foremost, Autopsy)
  • Крипто-утилиты (Cryptool)
  • Графические редакторы (GIMP, PS)
  • Аудиоредакторы (Audacity, AU)
  • Языки программирования (Python, C)

Сразу оговорюсь, организаторами было предусмотрено 2 ПК для прохождения CTF, без доступа к интернету, а так же шпаргалка в виде списка необходимого софта предустановленного на стендовых ПК для прохождения, stegsolve.jar, а так же урезанный словарь RockYou (~400 строк).

Sonic-visuality
Steghide
XnConvert
Hashcat
XnViewMP

Первое задание которое бросилось в глаза — pcap файл содержащий обмен данными «Дарта Вейдера» по FTP сервером. (самое простое задание)

По легенде:

«Задание: FTP — authentication
Points: 5
Описание: В ходе аутентифицированного обмена файлами, Дарт Вейдер засветил свои интим фоточки. Нам удалось совершить дамп передачи пакетов, возможно там сохранились креды…»

Интуитивно, открываем Wireshark и ищем креды

Кто знаком с Wireshark’ом знает что нужно лишь выбрать поток данных чтобы отследить нужную инфу…

Немного времени и внимательности — и Вот и наш флаг: cdts3500

!Если Вам понравилась эта статья, присоединяйтесь к нам на Телеграм канал, всегда будете на волне всего самого интересного!

Присоединяйтесь пользователей

Tagged with: