# Forensic
ChallengeLink
Riil Kh? (364 pts)Here
Syntek Hospital's Evidence (Part 1) (456 pts)Here
## Riil Kh? (364 pts) ### Description \- ### Solution Jadi flag ada di email , ada 2 bagian. Tapi saya nemu jadi 1. Karena kami gatau bagaimana request saat pengiriman email, jadi kami coba analisis requestnya dengan burpsuite.
Jadi ada di post sync/u/\ . Cari req tersebut diwireshark
Hingga didapatkan 1 req yang memiliki flag. Copy jsonnya dan liat ada flag
Flag : IFEST22{Th3\_tRutH\_15\_g3ner\@LLy\_s33n\_@nd\_RareLy\_h3ard\_yagesya} ## Syntek Hospital's Evidence (Part 1) (456 pts) ### Description \- ### Solution Diberikan mem dump, lakukan analisis terhadap proses yang berjalan.
Karena deskripsi menjelaskan bahwa aplikasi ngoding yang biasa digunakan maka dari nama filenya kemungkinan adalah scripteditor.exe atau code.exe. Lakukan procdump untuk kedua proses tersebut ```bash python3 vol.py -f dump/syn1/dump.raw -o dump/syn1/ windows.dumpfile --pid 3116 python3 vol.py -f dump/syn1/dump.raw -o dump/syn1/ windows.dumpfile --pid 1740 ``` Setelah melakukan analisis unutk file exenya kami menemukan kejanggalan pada Code.exe (dibuild menggunakan c#). Disini kami menggunakn ilspy untuk decompile
Program tersebut menjalankan Code.ps1, jadi kami save resourcenya.
Lakukan binwalk dan kami mendapat Code.ps1
Sampai disini terlihat address dan port nya jadi tinggal gabunngkan dengan filename untuk mendapatkan flagnya Flag : IFEST22{Code.exe\_192.168.219.147\_443} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://kos0ng.gitbook.io/ctfs/write-up/2022/ifest/forensic.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.