LOKI BITmis

ekte LOKI_BITmis.tar.gz isimli bir dosya verilmis infoyu kaydedememisim ama sifreli diskleri
cagristiracak bir aciklama yapilmisti hatirladigim uzere

file LOKI_BITmis.tar.gzJekyll
	LOKI_BITmis.tar.gz: gzip compressed data, last modified: Thu Jul 19 14:15:20 2018, from Unix

tar -xvf LOKI_BITmis.tar.gz
	LOKI_BITmis/
	LOKI_BITmis/LOKI_BITmis_mem.raw
	LOKI_BITmis/LOKI_BITmis.E01

file LOKI_BITmis/*
	LOKI_BITmis/LOKI_BITmis.E01:     EWF/Expert Witness/EnCase image file format
	LOKI_BITmis/LOKI_BITmis_mem.raw: data

elimde 1 adet e01 dosyasi 1 adet de raw dosya var, raw dosya isminden anlasilacagi
uzere memory dump
e01 dosyasini autopsy’de aciyorum

autopsy

bitlocker ile sifrelenmis bir disk oldugunu belirtiyor diskin headeri ->

EB 58 90 2D 46 56 45 2D 46 53 2D -> ëX.-FVE-FS-

bitlocker nedir?
kisaca windows sistemlerdeki (vistadan beri kullanilan) disk sifreleme ozelligidir.
tum diski sifrelemektedir. home surumlerinde bulunmaz maalesef. varsayilan olarak
128bit veya 256bit AES sifreleme algoritmasini kullanir (cbc veya xts kipinde).

bizim bu partition uzerinden veri cekmemiz icin bize bitlocker keyi lazim
ve bu memdump bosa verilmemis. flarevm atesliyorum bitlocker ile sifrelenmis partitioni da ftkimager ile raw
olarak ayirip zaman kaybetmeden kolay yollu yontemi secerek Passware Kit Forensic kullaniyorum, ctfteyiz. full disk encryption menusunden bitlocker
seciyorum. elimdeki diskin ait oldugu bilgisayarin bende memorysi de var
secenegiyle bitlocker keyini buldurtuyorum.

key: 711689-464596-152856-686587-318054-436117-084645-477510

artik elimde bitlocker keyi de olduguna gore bu partitioni mount etmemde bir
engel yok. (yani yoktur umarim)

bunun icin dislocker isimli araci kullanicam

sudo dislocker -v -V bitlocker.raw -p711689-464596-152856-686587-318054-436117-084645-477510 -- /mnt/tmp/

sudo su

ls /mnt/tmp
	dislocker-file

mkdir /mnt/dislocker/

mount -o loop,ro /mnt/tmp/dislocker-file /mnt/dislocker/

ls -la /mnt/dislocker/
	total 69
	drwxrwxrwx 1 root root  4096 Jul 20 02:33 .
	drwxr-xr-x 6 root root  4096 Sep 30 02:37 ..
	-rwxrwxrwx 2 root root 56122 Jul 18 16:04 43ee7056183145489e59b32bf8830389.jpg
	-rwxrwxrwx 1 root root    57 Jul 19 01:49 flag.txt
	drwxrwxrwx 1 root root     0 Jul 20 02:22 $RECYCLE.BIN
	drwxrwxrwx 1 root root  4096 Jul 20 02:33 System Volume Information

cat /mnt/dislocker/flag.txt

flag : STMCTF{S3n_Istedigin_KaDar_5!frele_B3n_yine_de_Alirim_;)}

Kolay Olsun Dedik

ekte 1 adet pdf dosyasi var
gayet acik
kolay olsun demisler

file KolayOlsunDedik.pdf
	KolayOlsunDedik.pdf: PDF document, version 1.3

pdfinfo KolayOlsunDedik.pdf
	Title:          Untitled.pages
	Creator:        Pages
	Producer:       Mac OS X 10.13.6 Quartz PDFContext
	CreationDate:   Sat Aug 25 19:20:26 2018
	ModDate:        Sat Aug 25 19:20:26 2018
	Tagged:         no
	UserProperties: no
	Suspects:       no
	Form:           none
	JavaScript:     no
	Pages:          1
	Encrypted:      no
	Page size:      595.28 x 841.89 pts (A4)
	Page rot:       0
	File size:      9465 bytes
	Optimized:      no
	PDF version:    1.3

binwalk -e KolayOlsunDedik.pdf
	DECIMAL       HEXADECIMAL     DESCRIPTION
	--------------------------------------------------------------------------------
	0             0x0             PDF document, version: "1.3"
	8740          0x2224          Zip archive data, at least v2.0 to extract, name: flag.txt
	8863          0x229F          Zip archive data, at least v1.0 to extract, name: __MACOSX/
	8918          0x22D6          Zip archive data, at least v2.0 to extract, name: __MACOSX/._flag.txt
	9443          0x24E3          End of Zip archive

ls -la _KolayOlsunDedik.pdf.extracted/
	total 20
	drwxrwxr-x 3 d1scharg3d d1scharg3d 4096 Sep 30 03:12 .
	drwxrwxr-x 3 d1scharg3d d1scharg3d 4096 Sep 30 03:11 ..
	-rw-rw-r-- 1 d1scharg3d d1scharg3d  725 Sep 30 03:11 2224.zip
	-rwxrwxrwx 1 d1scharg3d d1scharg3d   51 Aug 25 21:45 flag.txt
	drwxrwxr-x 2 d1scharg3d d1scharg3d 4096 Sep 30 03:12 __MACOSX

cat _KolayOlsunDedik.pdf.extracted/flag.txt

flag : STMCTF{Denize_K4r5i_Ne_De_Guz3L_S0ru_H4ziRLanIrm!s}