CyberDefenders: Eli Write-up

Katagori: Digital Forensics

Soru1: The folder to store all your data in — How many files are in Eli’s downloads directory?

c78-Chromebook\2021 CTF Chromebook\decrypted\mount\user\Downloads klasörü içerisinde Eli isimli kullanıcının indirdiği dosyalar bulunuyor.

Soru2: Smile for the camera — What is the MD5 hash of the user’s profile photo?

c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user\Accounts\Avatar Images klasörü içerisinde bulunan eflatt610@gmail.com mail adresinde bulunuyor.

Soru3: Road Trip! — What city was Eli’s destination in?

Eli isimli kullanıcının hangi şehirde olduğu hakkındaki bilgiyi History.db isimli c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user dosya yolunda bulunan veritabanından Google Chrome üzerindeki geçmiş bilgilerine ulaşabiliriz. History.db isimli veritabanını DB Browser üzerinden açalım. DB Browser üzerinden açılan History.db isimli veritabanı “urls” isimli tabloda Google Chrome geçmişine ulaşabiliriz.

Doğrulama yapmak amacıyla https://www.google.com/maps/dir//Chick-fil-A,+400+NY-3,+Plattsburgh,+NY+12901/@44.6924626,-73.5384464,12z/data=!4m15!1m6!3m5!1s0x4cca4738fe36755b:0x41c2a04f9e4e5e38!2sChick-fil-A!8m2!3d44.6970959!4d-73.4872913!4m7!1m0!1m5!1m1!1s0x4cca4738fe36755b:0x41c2a04f9e4e5e38!2m2!1d-73.4872913!2d44.6970959 URL adresini ziyaret edin.

Soru4: Promise Me — How many promises does Wickr make?

Bu sorunun cevabını c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user dosya yolunda bulunan History.db isimli veritabanında bu sorunun cevabını bulabileceğimi düşündüm ve “wickr” anahtar kelimesiyle DB Browser üzerinde araştırabilirsiniz.

Wickr anahtar kelimesiyle yaptığım araştırmada https://wickr.com/wp-content/uploads/2020/11/Wickr-Customer-Security-Promises-November-2020.pdf URL adresinde PDF dosyası olduğu görülmüştür. PDF dosyası içeriğinde Wickr’ın kaç tane sözü olduğunu görebilirsiniz.

Soru5: Key-ty Cat — What are the last five characters of the key for the Tabby Cat extension?

Tabby Cat uzantısının Web üzerinde bir geçmişi olabileceğini düşündüm. History.db isimli veritabanında “urls” tablosunda “cat” anahtar kelimesi araştırılmış olup, https://chrome.google.com/webstore/detail/tabby-cat/mefhakmgclhhfbdadeojlkbllmecialg/related?hl=en URL adresinin olduğu görebilirsiniz.

Google Chrome üzerinde eklenen uzantılar için uzantıların tutulduğu Extensions isimli bir dosya vardır. c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user\Extensions\mefhakmgclhhfbdadeojlkbllmecialg\2.0.0_0 dosya yolunda Manifest.json isimli dosyadan Tabby Cat uzantısının anahtarına ulaşabilirsiniz.

Soru6: Time to jam out — How many songs does Eli have downloaded?

c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user\MyFiles\Music dosya yolu içerisinde kullanıcının kaç adet şarkı indirdiğini görebilirsiniz.

Soru7: Autofill, roll out — Which word was Autofilled the most?

c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user dosya yolunda bulunan Webdata.db isimli veritabanında bulunan “autofill” isimli tablodan otomatik doldurulan kelimeleri bulabilirsiniz.

Soru8: Dress for success — What is this bird’s image’s logical size in bytes?

İndirilenler klasöründe kaç adet dosya var sorusunda kuş görüntüsünü görmüştük.

Sor10: Repeat customer — What was Eli’s top visited site?

c78-Chromebook\2021 CTF — Chromebook\decrypted\mount\user dosya yolunda bulunan Top Sites.db isimli veritabanından en çok ziyaret edilen sitelere ulaşılır. Burada dikkat edilmesi gereken URL sıralamasında değerin 0 dan başlıyor olmasıdır.

Soru11: Vroom Vroom, What is the name of the car-related theme?

Soru5’te de olduğu gibi bu soruda da Extensions isimli klasöre bakılabilir. Ben ilk önce History.db isimli veritabanında bulunan “urls” isimli tabloda “webstore” anahtar kelimesini aratarak kullanıcının kullandığı temaya ulaşabilirsiniz.

URL içerisinde “lamborghini-cherry” kelimelerini gördüm ve Extensions isimli klasörde “dkkklbgbfaeockpgbkleblklmcjdbnbj/1_0” bulunan klasörde bulunuyor.

Soru12: You got mail — How many emails were received from notification@service.tiktok.com?

c78-Chromebook\2021 CTF — Takeout\Takeout\Mail dosya yolunda bulunan “All mail Including Spam and Trash.mbox” dosyasını Kernel MBOX Viewer programını kullanabilirsiniz.

Soru13: Hungry for directions — Where did the user request directions to on Mar 4, 2021, at 4:15:18 AM EDT?

c78-Chromebook\2021 CTF — Takeout\Takeout\My Activity dosya yolunda Maps klasörü içerisinde MyActivity.html dosyasını açtığımda kullanıcının haritalar üzerinde aradığı yerlere ulaşabilirsiniz.

Soru14: Who defines essential? — What was searched on Mar 4, 2021, at 4:09:35 AM EDT?

c78-Chromebook\2021 CTF — Takeout\Takeout\My Activity dosya yolunda bulunan Search isimli klasörde MyActivity.html dosyası içerisinde istenen tarih-zaman damgalı Google Chrome tarayıcısından search edilen kelimeler ulaşabilirsiniz.

Soru15: I got three subscribers, and counting — How many YouYube channels is the user subscribed to?

c78-Chromebook\2021 CTF — Takeout\Takeout\YouTube and YouTube Music\subscriptions dosya yolunda subscriptions.json isimli dosya içerisinde bulabilirsiniz.

Soru16: Time flies when you’re watching YT — What date was the first YouTube video the user watched uploaded?

c78-Chromebook\2021 CTF — Takeout\Takeout\YouTube and YouTube Music\history dosya yolunda bulunan watch-history veya c78-Chromebook/Takeout/My Activity/YouTube/MyActivity.html dosya yolundan ulaşabilirsiniz.

Soru17: How much? — What is the price of the belt?

c78-Chromebook/Takeout\My Activity\ChromeMyActivity.html dosya yolundan ulaşabilirsiniz.

Sayfa kaynağını görüntüleyerek fiyatı görüntüleyebilirsiniz.

İyi okumlar.