Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kgtakm(kgtakm)

TryHackMe Writeup:Disk Analysis & Autopsy

Posted at

最初に

フォレンジックの統合ツールであるAutopsyを使ってみるRoomに挑戦します!
image.png

初めて使うツールなので、Writeup見つつ頑張ろ、、、

補足:Autopsyがうまく動作しないところもあります。もしこうすればいいよ、などのご指摘があればお願いします。。。

Task1

起動して、Open Caseを選択
image.png

適当なCaseをつくった後もできます
image.png

Tryhackme.autを選択します!
image.png

What is the MD5 hash of the E01 image?

読み込ませたHASAN2.E01の、Summary>Container に記載があります
image.png

What is the computer account name?

Computer Account Nameが該当するかどうかは微妙ですが、Hostnameは下図から確認できます!
image.png

List all the user accounts. (alphabetical order)

ユーザーアカウントも下図で確認できます!
image.png

What was the IP address of the computer?

まず割り当てられているドライブをよく見てみると2,3,6の3つでそれぞれを見てみると、3がWindowsでした

image.png

image.png

Look@LANというネットワーク監視ツールをインストールしています。
image.png

このツールの初期化ファイルにIPアドレスが指定されいました
image.png

What was the MAC address of the computer? (XX-XX-XX-XX-XX-XX)

IPアドレスの下にNICの情報が-なしで記載されています
image.png

What is the name of the network card on this computer?

Autopsyの使い方がよくないのか、Writeupを参考にしてもレジストリ値が見れない、、、
Softwareを選択しても、Applicationタブが押せない。。。。

これはあきらめました、、、

What is the name of the network monitoring tool?

これは少し前に扱ったLook@LANですね

A user bookmarked a Google Maps location. What are the coordinates of the location?

Web Bookmarkの中を探していたら見つかりました!
image.png

A user has his full name printed on his desktop wallpaper. What is the user's full name?

Images/Videosから画像が見れず。。。
image.png

断念、、、

A user had a file on her desktop. It had a flag but she changed the flag using PowerShell. What was the first flag?

shreyaのアカウントのDesktopにパワーシェルファイルがあることは確認できたのですが、このユーザー自身のフラグを変更する内容ではない。。。

image.png

Writeupを見てみると、Powershellファイルの実行履歴(?)が見れるファイルがあるとのことで、そこを確認したら、記載がありました!
image.png

The same user found an exploit to escalate privileges on the computer. What was the message to the device owner?

これは先ほどのshreyaのDesktopにあったパワーシュルファイルの中に記載があります
image.png

2 hack tools focused on passwords were found in the system. What are the names of these tools? (alphabetical order)

これは正直、このツールを知らなかったです。。。
勉強不足・・・・

There is a YARA file on the computer. Inspect the file. What is the name of the author?

全体から.yarを含むファイルを検索しました。
そうすると、H454NのDesktopにYARAファイルがあると記載があります
image.png

実際のところ、Desktopにはなく、Downloadにあったのですが、ファイルの中身を確認したら、Authorの情報がありました!
image.png

One of the users wanted to exploit a domain controller with an MS-NRPC based exploit. What is the filename of the archive that you found? (include the spaces in your answer)

MS-NRPC based exploit ツールでGoogleで調べてみたところ、ZerologonなるMS-NRPCの脆弱性を悪用するツールがあるみたい
image.png

Zerologonで検索をかけたところ、sandhyaがダウンロードしていた形跡が見つかりました!
image.png

最後に

今回学んだことは以下2点です

  • Autopsyを使いこなすことより、Windowsのフォレンジックの知識が重要
  • ログに記載されているフォルダを信用しすぎない
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?