Статья Сказание о том, как Игорь начинал выполнять челленджи HTB

Немного сюжета

Тёплые, ясные летние вечера лета начинают становиться прохладными и более тёмными. Ночь и прохладная тьма мало-помалу начинают господствовать над силами света. В одну из таких ночей Игорь не спал. Бессонница истязала его в тот момент, это было частое явление. Работа в качестве сетевого админа часто выматывала его. Эх, если бы невозможность уснуть была единственной причиной того, почему в эту ночь он не спал.

Сообщение в Telegram'e захватило его, бот новостного канала прислал занимательную статью про расследование киберпреступления. Там он разузнал о существовании форензики и логов, просмотрев логи windows, ему стало не по себе. Оказывается, windows хранила столько информации о его жизни за ПК. В голову начали приходить мысли о том, как же перейти на более безопасный вариант операционной системы, а именно что-то с Linux подобных. Отличия нашего героя от основной массы людишек не сосчитать, потому он начинает со свойственной ему индивидуальности, скачав себе на флешку Parrot Security OS вместо Kali linux, как это делают многие. Запустил и ушёл спать:

Код:
apt update && apt full-upgrade -y

Введение

Приветствую тебя, читатель. Статья для начинающих про челленджи "Hack the box" с добавлением незначительного сюжета для повышения интереса и уровня восприятия людьми, которые в этой сфере мало что понимаю. Конкретно будем вести беседу о уровне "Easy" , Для мастеров форензики здесь будет не очень интересно.

План статьи из четырёх пунктов:
  • Небольшой гайд по устанвоке Parrot Security OS на флешку
  • Illumination
  • Took the Byte
  • USB Ripper
Зайдя на официальный веб-сайт загрузки Parrot Security OS, наш герой увидел различные варианты для загрузки.

icedragon_UmNw2Um13q.png


icedragon_Pc1swKMMKQ.png


На выбор была версия 4. 9. 1 или тестовая 4. 10 из веб-архива. Первый вариант был выпущен в мае, а второй в июле. Игорь подумал о том, какое количество времени будет занимать обновление компонентов и предпочел второй вариант. Загрузил iso образ и скачал rufus. Запуск, выбор загруженного iso образа, выделение места для Persistence раздела, старт.

rufus-3.11_rj9acpojHx.png


rufus-3.11_1TwLi4YNjf.png


На вопрос про syslinux, Игорь ответил "Да".

rufus-3.11_tY9TXR36Bg.png


В конце загрузки образа на флешку, наш герой выключил компьютер. Впоследствии загрузился в bios и выбрал запуск с флешки, загрузился в Persistence.

Продолжение

Игорь завершил свой рабочий день и решил тренироваться. Мысль про HackTheBox вкралась ему в голову - челленджи по форензике. Для начала он решил попробовать легкий уровень. Оценённый людьми как самый простенький , челлендж "Illumination" стал самым первым.

Illumination

Просмотрев все файлы из архива, Игорь ничего заманчивого не нашёл.

2020-08-04_11-39.png


Побившись ещё минут 20 над этой задачей, отыскалась внезапная улика. Скрытая папка . git показалась при использовании:

Код:
ls -la

2020-08-04_11-43.png


Внутренний детектив нашего героя подсказал зайти в папку и написать команду для просмотра лога:

Код:
git log

В описании изменений автор удалил какой-то токен.

2020-08-04_12-12.png


Код:
git show 47241a47f62ada864ec74bd6dedc4d33f4374699

2020-08-04_12-13.png


Токен получен, но это не флаг. Google предоставил результаты связанные с base64 дешифрирую - решил Игорь:

Код:
echo "SFRCe3YzcnNpMG5fYzBudHIwbF9hbV9JX3JpZ2h0P30=" | base64 --decode

2020-08-04_12-15.png


Ощущение радости нахлынули на Игоря. Это был его первый флаг.

Took the Byte

Архив Hack The Box хранил в себе один файл "Password". Необходимо понять, что это за файл и что с ним может быть странного. Открыв его, Игорёк ничего не понял, какая-то тарабарщина.

Снимок экрана 2020-08-05 15:40:24.png


Выполнение этой команды показывает, что это файл Data:

Код:
file password

2020-08-04_20-26.png


В голове возникли мысли по поводу дешифрования. Игорь временами пользовался CyberChef для собственных нужд. И в настоящий момент этот инструмент тоже подошел. Загрузив "password" и применив функцию "magic" с опцией "intensive mode", Игорь узрел различные варианты, что могло происходить с файлом. Первый был самым читабельным и наиболее вероятным.

2020-08-04_20-30.png


Наш герой загрузил файл первого варианта и проверил его снова с помощью:

Код:
file download.dat

Получился zip архив. После строчек:

Код:
unzip download.dat

в директории появился password.txt, внутри располагался флаг.

2020-08-04_20-34.png


USB Ripper

Вновь загрузка архива и распаковка, перед взором молодого форензика предстали auth.json и syslog файл, который позднее Игорь переименовал в "some_log".

2020-08-04_20-36.png


Просмотрев их, Игорь понял, что первый файл содержал в себе параметр "manufacture" разнообразных usb устройств, а второй был логом с подключений к ПК usb девайсов.

2020-08-04_20-38.png


Проверять каждый параметр "manufactur" для каждого usb девайса потребовало бы невообразимого количество времени и сил. Интернет в помощь, утилита Usbrip была избрана Игорем, после сёрфинга по ответам всемирной сети. Прочитав статью про инструмент, следует команда:

Код:
usbrip events violations auth.json --file some_log

2020-08-04_20-45.png


После анализа всех подключённых устройств из файла "auth.json" и сравнение устройств из some log, нашлось 1 незнакомое устройство. "И что теперь? " - возник вопрос у нашего форензика в голове, было решено загуглить каждый параметр.

2020-08-04_20-46.png


Добравшись до "serial number", Игорь увидел в ответе поисковой системы что-то связанное с MD5. Параметр "serial number был зашифрован с помощью MD5. Расшифровка была перед глазами:

2020-08-04_20-47.png


Нужно было оформить расшифровку в флаг для Hack The Box, присоединив пару заглавных вначале и обернув в фигурные скобки.

2020-08-04_20-48.png


Окончив эти челленджи, Игорь жаждал продолжить, но становилось поздно. Снотворное, вода были заключительными вещами в тот день.
 

Вложения

  • Screenshot at 2020-08-04 11-32-24.png
    Screenshot at 2020-08-04 11-32-24.png
    9,6 КБ · Просмотры: 245
Последнее редактирование модератором:

Mogen

Red Team
27.08.2019
299
528
Не успел оправится от твоей статьи про сети как вышла новая статья про CTF. Так держать!
Спасибо :)
Хочется развить тему про Parrot Security OS, как тоже достойный дистрибутив для пентеста и использования. Форензикой заинтересовался и хочется писать статьи в этом направлении.
 

zibruss

Green Team
04.06.2019
42
16
Отличная статья. Для новичка самое то. Недавно сам зарегался htb и тут подгон притяный. Благодарю )
 
  • Нравится
Реакции: Mogen

Mudblood-

Green Team
17.12.2020
21
12
Челенджи на HTB очень интересные сами по себе, проходил OSINT, очень увлекает!
 
  • Нравится
Реакции: Mogen
Мы в соцсетях: