Forensic

Riil Kh? (364 pts)

Description

-

Solution

Jadi flag ada di email , ada 2 bagian. Tapi saya nemu jadi 1. Karena kami gatau bagaimana request saat pengiriman email, jadi kami coba analisis requestnya dengan burpsuite.

Jadi ada di post sync/u/<int> . Cari req tersebut diwireshark

Hingga didapatkan 1 req yang memiliki flag. Copy jsonnya dan liat ada flag

Flag : IFEST22{Th3_tRutH_15_g3ner@LLy_s33n_@nd_RareLy_h3ard_yagesya}

Syntek Hospital's Evidence (Part 1) (456 pts)

Description

-

Solution

Diberikan mem dump, lakukan analisis terhadap proses yang berjalan.

Karena deskripsi menjelaskan bahwa aplikasi ngoding yang biasa digunakan maka dari nama filenya kemungkinan adalah scripteditor.exe atau code.exe. Lakukan procdump untuk kedua proses tersebut

python3 vol.py -f dump/syn1/dump.raw  -o dump/syn1/ windows.dumpfile --pid 3116
python3 vol.py -f dump/syn1/dump.raw  -o dump/syn1/ windows.dumpfile --pid 1740

Setelah melakukan analisis unutk file exenya kami menemukan kejanggalan pada Code.exe (dibuild menggunakan c#). Disini kami menggunakn ilspy untuk decompile

Program tersebut menjalankan Code.ps1, jadi kami save resourcenya.

Lakukan binwalk dan kami mendapat Code.ps1

Sampai disini terlihat address dan port nya jadi tinggal gabunngkan dengan filename untuk mendapatkan flagnya

Flag : IFEST22{Code.exe_192.168.219.147_443}