Outbox - Forensics TJCTF 2016
Рассмотрим достаточно интересный (и в то же время легкий) таск на форенсику Outbox с недавно прошедших TJCTF 2016.
Задание:
Дан файл Outbox.dbx (скачать ТЫК)
Первое что сделаем - погуглим что это за интересный формат .dbx:
*.dbx файлы используются для хранения сообщений пользователей, которые Outlook Express сохраняет в папку в электронной почте.
(последующее решение зависит от фантазии автора:)
Так но я вообще не хочу устанавливать Outlook такой доисторической версии!
Вначале на Windows скачаем программу http://www.dbxtriever.com/ и откроем файл.
Видим, что у нас только одно письмо с каким то вложением. С помощью dbxtriever конвертируем его.
На выходе получаем Outbox.eml . Уже лучше!
Теперь открываем его одним из популярных почтовых клиентов и видим наше письмо (я воспользовался Mail MacOS).
Just finished my computer upgrade -- finally. I think this is what you were looking for.
TJ
TJ
И приложенный файл Backup.bkf
Опять же гуглим что за bkf:
Ладно, побежали ставить Microsoft Windows NT Backup - Restore Utility (http://www.stsanford.com/pebuilder/nt5backup.cab)
1. Распаковываем
2. Запускаем files/ntbackup.exe
3. Выбираем Restore files and settings
4. Выбираем наш файл Backup.bkp
5. В левой части окна ставим везде галочки (как на фото)
6. Тыкаем на кнопку Advanced (мы же не хотим чтобы наши файлы перезаписались)
7. В выдвигающемся меню выбираем Single folder и указываем папку в которую будут сохранены наши файлы.
8. Убираем галки со всех пунктов далее пунктов.
9. Готово!
Идем в нашу папку и видим множество файлов. Ну и конечно самый неприметный из них - flag.doc
Открываем его, пролистываем до 24 страницы и находим изображение:
FLAG: tjctf{@_b1@sT_Fr0M_tH3_Pa$t}
PS Расскажу о некоторых проблемах во время решения. Главная из них заключалась в изучении .doc документа. Нашел я картинку изучая документ в текстовом редакторе, не обрабатывающем .doc файлы:
А в остальном нужны были только знания гуглинга и наличие windows:)
- Автор: drakylar
- Комментарии: 0
- Просмотры: 2741