Статья Сказание о том, как Игорь начинал выполнять челленджи HTB

Немного сюжета​

Тёплые, ясные летние вечера лета начинают становиться прохладными и более тёмными. Ночь и прохладная тьма мало-помалу начинают господствовать над силами света. В одну из таких ночей Игорь не спал. Бессонница истязала его в тот момент, это было частое явление. Работа в качестве сетевого админа часто выматывала его. Эх, если бы невозможность уснуть была единственной причиной того, почему в эту ночь он не спал.

Сообщение в Telegram'e захватило его, бот новостного канала прислал занимательную статью про расследование киберпреступления. Там он разузнал о существовании форензики и логов, просмотрев логи windows, ему стало не по себе. Оказывается, windows хранила столько информации о его жизни за ПК. В голову начали приходить мысли о том, как же перейти на более безопасный вариант операционной системы, а именно что-то с Linux подобных. Отличия нашего героя от основной массы людишек не сосчитать, потому он начинает со свойственной ему индивидуальности, скачав себе на флешку Parrot Security OS вместо Kali linux, как это делают многие. Запустил и ушёл спать:

apt update && apt full-upgrade -y

Введение​

Приветствую тебя, читатель. Статья для начинающих про челленджи "Hack the box" с добавлением незначительного сюжета для повышения интереса и уровня восприятия людьми, которые в этой сфере мало что понимаю. Конкретно будем вести беседу о уровне "Easy" , Для мастеров форензики здесь будет не очень интересно.

План статьи из четырёх пунктов:

• Небольшой гайд по устанвоке Parrot Security OS на флешку
• Illumination
• Took the Byte
• USB Ripper

Как наш Игоряша попугая устанавливал

Зайдя на официальный веб-сайт загрузки

Ссылка скрыта от гостей

, наш герой увидел различные варианты для загрузки.

На выбор была версия 4. 9. 1 или тестовая 4. 10 из

Ссылка скрыта от гостей

. Первый вариант был выпущен в мае, а второй в июле. Игорь подумал о том, какое количество времени будет занимать обновление компонентов и предпочел второй вариант. Загрузил iso образ и скачал rufus. Запуск, выбор загруженного iso образа, выделение места для Persistence раздела, старт.

На вопрос про syslinux, Игорь ответил "Да".

В конце загрузки образа на флешку, наш герой выключил компьютер. Впоследствии загрузился в bios и выбрал запуск с флешки, загрузился в Persistence.

Продолжение​

Игорь завершил свой рабочий день и решил тренироваться. Мысль про HackTheBox вкралась ему в голову - челленджи по форензике. Для начала он решил попробовать легкий уровень. Оценённый людьми как самый простенький , челлендж "Illumination" стал самым первым.

Illumination​

Просмотрев все файлы из архива, Игорь ничего заманчивого не нашёл.

Побившись ещё минут 20 над этой задачей, отыскалась внезапная улика. Скрытая папка . git показалась при использовании:

ls -la

Внутренний детектив нашего героя подсказал зайти в папку и написать команду для просмотра лога:

git log

В описании изменений автор удалил какой-то токен.

git show 47241a47f62ada864ec74bd6dedc4d33f4374699

Токен получен, но это не флаг. Google предоставил результаты связанные с base64 дешифрирую - решил Игорь:

echo "SFRCe3YzcnNpMG5fYzBudHIwbF9hbV9JX3JpZ2h0P30=" | base64 --decode

Ощущение радости нахлынули на Игоря. Это был его первый флаг.

Took the Byte​

Архив Hack The Box хранил в себе один файл "Password". Необходимо понять, что это за файл и что с ним может быть странного. Открыв его, Игорёк ничего не понял, какая-то тарабарщина.

Выполнение этой команды показывает, что это файл Data:

file password

В голове возникли мысли по поводу дешифрования. Игорь временами пользовался

Ссылка скрыта от гостей

для собственных нужд. И в настоящий момент этот инструмент тоже подошел. Загрузив "password" и применив функцию "magic" с опцией "intensive mode", Игорь узрел различные варианты, что могло происходить с файлом. Первый был самым читабельным и наиболее вероятным.

Наш герой загрузил файл первого варианта и проверил его снова с помощью:

file download.dat

Получился zip архив. После строчек:

unzip download.dat

в директории появился password.txt, внутри располагался флаг.

USB Ripper​

Вновь загрузка архива и распаковка, перед взором молодого форензика предстали auth.json и syslog файл, который позднее Игорь переименовал в "some_log".

Просмотрев их, Игорь понял, что первый файл содержал в себе параметр "manufacture" разнообразных usb устройств, а второй был логом с подключений к ПК usb девайсов.

Проверять каждый параметр "manufactur" для каждого usb девайса потребовало бы невообразимого количество времени и сил. Интернет в помощь, утилита Usbrip была избрана Игорем, после сёрфинга по ответам всемирной сети. Прочитав статью про инструмент, следует команда:

usbrip events violations auth.json --file some_log

После анализа всех подключённых устройств из файла "auth.json" и сравнение устройств из some log, нашлось 1 незнакомое устройство. "И что теперь? " - возник вопрос у нашего форензика в голове, было решено загуглить каждый параметр.

Добравшись до "serial number", Игорь увидел в ответе поисковой системы что-то связанное с MD5. Параметр "serial number был зашифрован с помощью MD5. Расшифровка была перед глазами:

Нужно было оформить расшифровку в флаг для Hack The Box, присоединив пару заглавных вначале и обернув в фигурные скобки.

Окончив эти челленджи, Игорь жаждал продолжить, но становилось поздно. Снотворное, вода были заключительными вещами в тот день.

 

[stephanie887]

Не успел оправится от вашей статьи про сети как вышла новая статья про CTF. Так держать!

 

[ROP]

Не успел оправится от твоей статьи про сети как вышла новая статья про CTF. Так держать!

Спасибо
Хочется развить тему про Parrot Security OS, как тоже достойный дистрибутив для пентеста и использования. Форензикой заинтересовался и хочется писать статьи в этом направлении.

 

[FlowLight]

Про Игоря обидно было , за статью спасибо )))

 

[zibruss]

Отличная статья. Для новичка самое то. Недавно сам зарегался htb и тут подгон притяный. Благодарю )

 

[Mudblood-]

Челенджи на HTB очень интересные сами по себе, проходил OSINT, очень увлекает!