HireMe - CyberDefenders Walkthroughs

# HireMe - CyberDefenders Walkthroughs **Q1: What is the administrator's username?** ![image](https://hackmd.io/_uploads/HkIxURmF6.png) Ở thư mục Users thường sẽ có luôn username. ```->Karen``` **Q2: What is the OS's build number?** Đầu tiên mình sẽ export ```SOFTWARE``` ở ```Windows\System32\config``` ![image](https://hackmd.io/_uploads/ryuFYRmYp.png) Sau đó mình dùng ```Registry Explorer``` để parse thông tin, current build number sẽ nằm ở ```Microsoft\WindowsNT\CurrentVersion```. ![image](https://hackmd.io/_uploads/ByJyKRmY6.png) ```-> 16299``` **Q3: What is the hostname of the computer?** Tương tự như câu 2 thì mình sẽ export ```SYSTEM``` để tìm host name ![image](https://hackmd.io/_uploads/ry7p5CQFa.png) Vẫn dùng ```Registry Explorer``` để parse, hostname sẽ được lưu ở ```Controlset001\Computername\Computername```. ```->TOTALLYNOTAHACK``` **Q4: A messaging application was used to communicate with a fellow Alpaca enthusiest. What is the name of the software?** Để tìm tên của ứng dụng thì mình dùng lại ```SOFTWARE``` để xem những ứng dụng đã được cài đặt ở path ```Windows\CurrentVersion\App Paths```. ![image](https://hackmd.io/_uploads/Byfy3RQKp.png) ```-> Skype``` **Q5: What is the zip code of the administrator's post?** Lúc đầu câu hỏi này khiến mình hơi confused, sao có thể tìm được zip code của bài post của quản trị viên được ta, thế là mình xem hẳn 2 cái hints :> thì thấy nó bảo check ```Chrome data```, mà chrome data thì sẽ được lưu ở trong ```Users\Karen\AppData\Local\Google\Chrome\User Data\Default\Web Data```. ![image](https://hackmd.io/_uploads/BkJHxk4tp.png) ```-> 19709``` **Q6: What are the initials of the person who contacted the admin user from TAAUSAI?** Contact từ TAAUSAI thì mình đoán người ta sẽ dùng mail ( vì đây là vấn đề liên quan đến công việc), mà từ câu 4 thì mình check app thấy có ```outlook.exe``` nên mình sẽ bắt đầu từ nó. Đầu tiên mình export mail từ thư mục ```outlook``` với path ```Users\Karen\AppData\Local\Microsoft\outlook```. ![image](https://hackmd.io/_uploads/S1288yVKT.png) Sau khi export thì mình có một file OST, mình sẽ dùng ```Kernel OST Viewer``` để đọc nó. Dễ dàng nhận thấy có mail giữa Karen và bên TAUUSAI và thường đầu mail sẽ là tên nên mình đoán MS là tên viết tắt mà mình cần tìm. ![image](https://hackmd.io/_uploads/H1cMwJNY6.png) ```->MS``` **Q7: How much money was TAAUSAI willing to pay upfront?** ![image](https://hackmd.io/_uploads/B1EA_yNFp.png) ```-> 150000``` **Q8: What country is the admin user meeting the hacker group in?** Vẫn cứ tiếp tục đọc mail cho đến khi mình thấy được đoạn dưới đây ![image](https://hackmd.io/_uploads/Sycj5JEF6.png) Có vẻ như 27^0^22'50.10"N, 33^0^54.62"E là tọa độ của địa điểm mà mình cần tìm ![image](https://hackmd.io/_uploads/Bk3t3JEta.png) ```-> Egypt``` **Q9: What is the machine's timezone? (Use the three-letter abbreviation)** Mình tìm timezon key name ở ```SYSTEM``` mà mình đã export ban đầu với path là ```ControlSet001\Control\TimeZoneInformation```. ![image](https://hackmd.io/_uploads/r1rlpkEKp.png) ```-> UTC``` **Q10 : When was AlpacaCare.docx last accessed?** Mình có thể dễ dàng tìm thấy được AlpacaCare.docx ở partition 3 : ![image](https://hackmd.io/_uploads/SyKMCkNY6.png) ```-> 03/17/2019 09:52 PM``` **Q11: There was a second partition on the drive. What is the letter assigned to it?** trong ```SYSTEM``` chọn ```MountedDevices``` , khóa này chứa thông tin về các thiết bị được mounted trên hệ thống, ngoài hai ổ đĩa C và D mặc định thì mình có thể thấy một ổ đĩa khác là A. ![image](https://hackmd.io/_uploads/rJxTQJZEYp.png) ```->A``` **Q12 :What is the answer to the question Company's manager asked Karen?** Đây là câu hỏi của người quản lí: ![image](https://hackmd.io/_uploads/rklOOeNY6.png) Và đây là câu trả lời : ![image](https://hackmd.io/_uploads/SJqq_lEFa.png) ```->TheCardCriesNoMore```. **Q13 : What is the job position offered to Karen? (3 words, 2 spaces in between)** ![image](https://hackmd.io/_uploads/HJL9KgEYp.png) ```-> Cyber Security Analyst``` **Q14 : When was the admin user password last changed?** Mấy cái liên quan đến mật khẩu thì thường được lưu ở SAM, nên mình sẽ export nó ở path ```Windows\System32\config```. ![image](https://hackmd.io/_uploads/HyTscgVFp.png) Và như thường lệ thì mình vẫn dùng Regripper để parse nó: ![image](https://hackmd.io/_uploads/HJlo5xNKp.png) lúc đầu mình tưởng admin là administrator nhưng không đó là Karen :> ![image](https://hackmd.io/_uploads/HkKPjeEYp.png) ```-> 03/21/2019 19:13:09``` **Q15 : What version of Chrome is installed on the machine?** ![image](https://hackmd.io/_uploads/SJXopl4YT.png) ```->72.0.3626.121``` **Q16 :What is the HostUrl of Skype?** Ở partition 3 có thể thấy rõ được hostURL bên trong tệp ```Zone.Identifier```. ![image](https://hackmd.io/_uploads/BkoV0eEFT.png) ```->https://download.skype.com/s4l/download/win/Skype-8.41.0.54.exe``` **Q17 : What is the domain name of the website Karen browsed on Alpaca care that the file AlpacaCare.docx is based on?** Thật sự thì ban đầu mình đọc câu này mình cũng không biết làm như nào luôn vì chưa từng gặp dạng này, mình thử tải nó về và mở đọc xem nội dung thế nào thì khi lướt tới cuối thì mình thấy cái nì =)) ![image](https://hackmd.io/_uploads/H1MoWZ4FT.png) ```->palominoalpacafarm.com```