In dieser Challenge (forensics #2) scheint es das Ziel zu sein, den Versuch eines SQL-Injection-Angriffes ausfindig zu machen. Als einzigen Hinweis erhalten wir die Information, dass der Browser beim Ausführen der SQL-Injection abgestürzt ist.
Beim Entpacken der Dateien stellen wir direkt fest, dass es sich (wieder) um das Benutzerverzeichnis eines Windows-Systems handelt. Wiederum sind es die Daten des Benutzers “proneer” (vermutlich war es sogar das selbe Archiv, wie in der Forensic #1 – Challenge).
Wonach suchen wir nun am cleversten in den Benutzerdaten? Wir wissen, dass der Browser beim SQL-Angriff abgestürzt ist und wir wissen auch – und kennen das vermutlich aus eigener Erfahrung -, dass Browser beim Schließen die letzten Sitzungen speichern und beim erneuten Öffnen dem Benutzer wieder anbieten. Unser Ziel ist es also, zuerst den verwendeten Browser zu identifizieren und in einem zweiten Schritt zu versuchen, die Aktionen der letzten Sitzung zu rekonstruieren.
rup0rt@lambda:~/forensic2/Users/proneer/AppData/Local$ ls 010 Editor History Temp Adobe IconCache.db Temporary Internet Files Apple Microsoft VirtualStore Application Data Microsoft_Corporation VMware GDIPFONTCACHEV1.DAT Microsoft Help Google Mozilla rup0rt@lambda:~/forensic2/Users/proneer/AppData/Local$ ls Google/ Chrome CrashReports Google Talk rup0rt@lambda:~/forensic2/Users/proneer/AppData/Local$ ls Mozilla/ Firefox rup0rt@lambda:~/forensic2/Users/proneer/AppData/Local$ ls Microsoft Assistance Feeds Cache Office Windows Mail CoreCon Internet Explorer VisualStudio Windows Media Credentials Media Player VSA Windows Sidebar Event Viewer Microsoft SQL Server VSTAHost Feeds MSDN Windows
Ein Blick in die lokalen Anwendungsdaten zeigt uns, dass zumindest für die drei gängigsten Browser (Chrome, Firefox und Internet Explorer) Verzeichnisse existieren. Um herauszufinden, welcher zuletzt verwendet wurde, sehen wir uns die Zeitstempel der Sitzungsdateien an.
Continue reading