Background Image

BLOG

DKHOS - Forensics 300 - Hadi hoppala vede cuppala
16 Şubat 2018 CTF

DKHOS - Forensics 300 - Hadi hoppala vede cuppala


Soru Açıklaması: 

Mahmut Pelinsu'nun eski bozuk harddisklerinden birine analiz çalışması yapar. Disk'in belirli bölümünden elde ettiği veriyi anlamlandırmaya çalışacaktır. 

Sorunun Çözümü:

Bu soruda yarışmacılara verilen "data" dosyası aslında başlık(header) bilgisi bozulmuş bir 7z arşiv dosyasıdır. Yarışmacılardan başlık bilgisinin bozulmamış kısımlarından (signature/footer/CRC) dosyanın bir 7z arşiv dosyası olduğunu anlamaları ve bozulan kısımları manuel olarak tamir etmeleri beklenmektedir. data dosyasında spesifik olarak bozulan kısımlar imza(sinature) kısmının ilk 2 byte ı ve end header kısmının boyutunu bildiren footer size kısımlarıdır.

Sinature kısmının bozulmasından ötürü file aracı bu dosyayı data olarak görecektir.

7z dosyarını nasıl recover edileceği ile ilgili google da yapılan basit aramalar sonucunda yarışmacılar dosyayı kolayca tamir edebilirler. (http://www.7-zip.org/recover.html)

Yarışmacılar 0x14 offsetindeki dosyanın end header boyutunu gösteren kısmın değerini "relative offset to end header" değerinden yola çıkarak veya deneme yanılma yaparak 0x26 olduğunu bulmalıdırlar. Dosyanın tamir aşaması bittiğinde alttaki gibi gözükmelidir:

Yarışmacılar tamir edilen 7z arşiv dosyanı açmaya çalıştıklarında dosyanın encrypted olduğunu fark edecekler. Bu aşamadı herhangi bir parola kırma aracı ile yapılan basit bir dictionary attack parolanın bulunmasında başarı getirecektir. Dosyanın parolası "piggies" rockyou.txt dosyasında 9990. sırada bulunmaktadır. 7z dosyası decompress edildiğinde flag.txt içerisinden sorunun flag i çıkacak.