Forensic 300 là một bài về phân tích bản backup của android.
Trước tiên ta dùng binwalk để xem các header file => Có ubicom và Troc filesystem là lạ, tuy nhiên đây chỉ là backup của firmware android. Ta có thể bỏ qua.
Việc đầu tiên là cần phải extract được tất cả các file trong backup, ta sử dụng công cụ Android backup extractor. Các bạn có thể tải tại địa chỉ sau:
http://sourceforge.net/projects/adbextractor/
Công cụ trên sẽ chuyển đổi từ định dạng backup của android sang định dạng nén tar. Sau đó ta dùng lệnh để extract ra toàn bộ các file:
tar xvf output_extract
Ta tiến hành tìm từ khóa whithat như sau:
grep -i whitehat . -r
Không có output không vui rồi, sau đó ta tìm xem trong các thư mục 0 sẽ có gì, thư mục apps không nên chứa flag vì đó là thư mục hệ thống, chứa các file cài đặt, vậy flag phải được giấu trong các định dạng nào đó như hình ảnh, db file.
Sau khi tìm kiếm các hình ảnh không khả thi vì sử dụng strings, outgess,... ta xem đến các file db,
ls -R | grep db
Ta thu được các file db trong đó có file msgstore.db.crypt7 của Whatapps, các file db khác có định dạng sqlite3 có thể đọc bằng lệnh strings, do grep không cho ra kết quả có thể bỏ qua.
Ta giả thiết rằng flag được giấu ở đây, việc cần làm là giải mã file trên.
Sau khi google ta phát hiện ra link sau:
http://stackoverflow.com/questions/24475815/how-to-convert-msgstore-db-crypt7-to-msgstore-db-from-whatsapp-in-android
Lúc này ta áp dụng các lệnh để giải mã,
hexdump -e '2/1 "%02x"' key | cut -b 253-316 > aes.txthexdump -e '2/1 "%02x"' key | cut -b 221-252 > iv.txtdd if=msgstore.db.crypt7 of=msgstore.db.crypt7.nohdr ibs=67 skip=1openssl
enc -aes-256-cbc -d -nosalt -nopad -bufsize 16384 -in
msgstore.db.crypt7.nohdr -K $(cat aes.txt) -iv $(cat iv.txt) >
msgstore.dbStrings msgstore.db Bingo ta đã tìm ra flag.Severus
Không có nhận xét nào:
Đăng nhận xét