Небольшое предисловие:

В CTF forensic является одной из сложных категорий заданий, сравнимой с PWN. Эта категория охватывает довольно обширные категории знаний:

• Программирование
  
• ОС (Windows, *Nix,)
  
• ФС (FAT, NTFS, Ext, etc.)
  
• Специфика типов файлов (JPEG, ELF, WAV, etc.)
  
• Сети (как минимум стек протоколов TCP/IP)
  
• Криптография
  
• Стеганография
  
• RE
  
• OSINT (Open Source INTelligence)

Виды задач, встречающиеся в тасках CTF:

• Восстановление данных (в том числе и удаленных)
  
• Анализ логов (журналы аудита, лог-файлы программ)
  
• Анализ сетевого трафика
  
• Поиск информации из открытых источников

Задачи могут перемежаться между собой, а также быть усложнены другими категориями знаний (криптография, RE, вирусология).

Каких-либо универсальных методов решения тасков категории forensic нет. Никогда не знаешь, что тебе за инцидент попадется и как тебе с ним справляться.

Можно лишь выработать стратегию решения, например:

• Что за объект мы имеем?
  
• Какие особенности имеет тип объекта?
  
• Какие отличия имеет объект от эталонного типа объекта?
  
• Какие методы решения существуют?

Эту стратегию следует зациклить до тех пор, пока задача не будет решена. Например, в исходных данных мы имеем дамп сетевого трафика. Проанализировав его, мы определили, что там передавались какие-то данные. После успешного (или не очень) извлечения мы получаем новый объект. Мы снова анализируем, что это за объект, какие он имеет особенности, что с ним не так и что с этим дальше делать.

Инструменты для решения задач forensic:

• Сетевые утилиты (Wireshark, Tshark, Scapy)
  
• Файловые утилиты (file, head, hex-редакторы)
  
• Утилиты для работы с ФС (TSK, Foremost, Autopsy)
  
• Крипто-утилиты (Cryptool)
  
• Графические редакторы (GIMP, PS)
  
• Аудиоредакторы (Audacity, AU)
  
• Языки программирования (Python, C)

Сразу оговорюсь, организаторами было предусмотрено 2 ПК для прохождения CTF, без доступа к интернету, а так же шпаргалка в виде списка необходимого софта предустановленного на стендовых ПК для прохождения, stegsolve.jar, а так же урезанный словарь RockYou (~400 строк).

Sonic-visuality
Steghide
XnConvert
Hashcat
XnViewMP

FTP (Part 1)
Итак, начнем разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ - KazHackStan 2018
Первое задание которое бросилось в глаза - pcap файл содержащий обмен данными "Дарта Вейдера" по FTP сервером. (самое простое задание)

По легенде:
"Задание: FTP - authentication
Points: 5
Описание: В ходе аутентифицированного обмена файлами, Дарт Вейдер засветил свои интим фоточки. Нам удалось совершить дамп передачи пакетов, возможно там сохранились креды..."

Интуитивно, открываем Wireshark и ищем креды



Кто знаком с Wireshark'ом знает что нужно лишь выбрать поток данных чтобы отследить нужную инфу...



Немного времени и внимательности - и Вот и наш флаг





Данный таск взят сroot-me и называется он там FTP - authentication
Прошел его для Вас мой друг и коллега Антон.
!Если Вам понравилась эта статья и хотите аналогичные простенькие разборы, прошу ставить пальцы вверх и оставлять комментарии .