Hack the Box - Sherlocks : découverte et solution de Jingle Bell

Mickael Dorigny - ITConnect - 12/02

Vous avez besoin d'aide pour le challenge Sherlocks Jingle Bell d'Hack the box ? Voici nos explications détaillées et une solution dans ce writeup Jingle Bell.

Sommaire

I. Présentation
II. Découverte de l'archive et du contexte
III. Analyse de la base de données SQLite3
- A. Découverte rapide de la base wpndatabase.db
- B. Retracer l'historique d'activité via les Notifications Windows
V. Conclusion

I. Présentation

On se retrouve dans cet article pour une nouvelle solution de l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Jingle Bell, de difficulté "débutant".

Notre objectif est ici de retracer les activités d'un utilisateur interne malveillant par l'intermédiaire du système de notifications Windows.

Lien du challenge : Hack The Box - Sherlocks - Jingle Bell

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordées	Windows, Notifications
Outils utilisés	sqlite3, grep

Retrouvez tous nos articles Hack The Box via ce lien :

IT-Connect - Articles Hack The Box

II. Découverte de l'archive et du contexte

Dans le cadre de l'investigation, un contexte et une archive sont mis à disposition :

Nous sommes donc face à une archive contenant certains fichiers provenant du poste d'un utilisateur interne que l'on suspecte de malveillance. Plus précisément, il est soupçonné d'avoir fait fuiter des informations sensibles par l'intermédiaire d'une application non identifiée. Nous devons donc récupérer le maximum d'informations afin de savoir quelles informations ont été divulguées et par quel moyen.

Si l'on s'intéresse à l'archive mise à disposition, voici son contenu :

Contenu de l'archive d'investigation Jingle Bell.

Nous obtenons trois fichiers situés dans le répertoire "C/Users/Appdata/Local/Microsoft/Windows/Notifications/". Il s'agit, d'après leur ex...
[Courte citation de 8% de l'article original]

Tags : cybersécurité - hack the box -

Source et Copyright images et textes : Mickael Dorigny - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/hack-the-box-sherlocks-jingle-bell-forensic-notifications-windows/
Lien direct sur notre site : http://www.newsexplorer.fr/article/24805231/Hack-the-Box---Sherlocks---d%C3%A9couverte-et-solution-de-Jingle-Bell
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.