- Đây chỉ là những challenges đơn giản mà mình đã tổng hợp để các bạn có thể hiểu sơ qua những gì mà khi chơi mảng Forensics phải làm.
- Và từ những cái cơ bản này các bạn có thể đi sâu hơn để trở thành Main Forensics nhé!
- Con đường nào cũng phải cần kiên trì, kết quả bạn nhận lại được sẽ tỉ lệ thuận với số lượng mồ hôi, thời gian, công sức bạn làm việc đó. CHÚC CÁC BẠN THÀNH CÔNG!
Author: St1rr1ng
Forensics Concept:
Có thể bao gồm phân tích định dạng tệp, ghi mật mã, phân tích kết xuất bộ nhớ hoặc phân tích thu thập gói mạng. Bất kỳ thách thức nào để kiểm tra và xử lý một phần thông tin ẩn trong các tệp dữ liệu tĩnh (trái ngược với các chương trình thực thi hoặc máy chủ từ xa) có thể được coi là một thách thức của Pháp chứng.
Tools
split, pdfinfo, pdfimages, pdfcrack, pdfdetach, Keepass, Magic Numbers, hexed.it, foremost, binwalk, Repair image online tool, photorec, TestDisk, pngcheck, pngcsum, Registry Dumper, Dnscat2, pefile, Wireshark, Network Miner, PCAPNG, tcpflow, PcapXray, qpdf, Audacity, sonic visualiser, ffmpeg strings, file, grep, scalpel, bgrep, hexdump, xxd, base64, xplico framework, zsteg, gimp, Memory dump - volatility, ethscan, and many more.
Sau đây mình sẽ chia sẽ một số EX cho các bạn chơi mảng Forensics theo từng dạng thông qua các challenges mình đã giải
1. Image file format analysis
- Thông thường khi gặp những bài này ta sẽ dùng
binwalk
xem nó file gì bị nén trong đó hay không.
- Sau khi kiểm tra ta thấy nó có chứa file PDF trong ảnh. Ta dùng lệnh
binwalk --dd='.*' wallet.jpeg
để extract file bị ẩn
- Ta được file
_wallet.jpg.extracted
. Sau đó check file ta thấy có 2 file0
và2E11E
- Ta sẽ đổi đuôi file
2E11E
thành.pdf
- Xem file PDF ta thấy ngay Flag ở trang 23 :D
Flag: flag(xxx)
2. Network Forensics
Challenge:
We found this packet capture Recover the flag. You can also find the file in /problems/shark-on-wire-1_0_13d709ec13952807e477ba1b5404e620.
Để làm các bài
.pcap
các bạn cần sử dụng WireShark. Các bạn có thể tìm hiểu công cụ WireShark ở đâyĐầu tiên ta mở file bằng WireShark
- Theo dõi cấc luồng UDP bằng cách nhấn chuột phải vào UPD chọn
Follow UDP Stream
- Sau đó nâng mức Stream lên 6 ta sẽ có ngay Flag
Flag: picoCTF{xxx}
3. File header analysis
NaCTF Turnips 2
HINT
: File headers are important, aren't they?
- Hint đã nói quá rõ việc ta cần làm, kiểm tra File headers bằng
hexedit
thôi
kali@kali:~/Desktop/CTF$ hexedit file.txt
- Ta thấy 8 byte đầu header của file sai định dạng. Tham khảo trang này ta sửa 8 byte đầu thành PNG
89 50 4E 47
và đổi tên file thành.png
- Nhiều khi điều ta nghĩ lại không như ta nghĩ :D Sau khi mở
file.png
để xem flag thì hiện lên dòng yêu thươngCould not load image “file.png”
- Sau khi check laị header và tham khảo trang thần thánh StackOverFlow thì mình phát hiện lại cái
chunk IHDR
nó cố ý làm sai nên sửa lại luôn.
- Check lại file xem nào. Ohhh Flag đây rồi :D
Flag: nactf{xxx}
4. Sound File
Can you find flag? sound.wav
- Một bài đơn giản về âm thanh. Để tìm Flag ta chỉ cần cho file này vào Audacity
Sound
đang ở đạngWaveform
ta chỉnh sangSpectrogram
là ra flag