Saturday, December 15, 2018

[Writeup] Mates SS3 Round 2

By  at December 15, 2018  , , ,  No comments

Misc

Round 2 Sanity Check

 Theo miêu tả của đề bài, tác giả nhấn mạnh vào chữ rotate, nên mình google với từ khóa rotate decrypt và truy cập trang http://rumkin.com/tools/cipher/rotate.php sau khi thử với Box width bằng 6 thì mình có được flag

Flag: matesctf{s4n1ty_ch3ck}

Forensics

Chúng ta có 2 file, một file dump và 1 file Login Data của Chrome. Btc yều cầu nhập mật khẩu của facebook -> flag là password của account được lưu trong file dump. Sau khi dùng volatility không thành công mình để ý đến header thì nó là file minidump mà dạng file này thì dùng mimikatz là best. Bài này cũng hên là trong giải OtterCTF vừa rồi ngoài cách mình viết trong writeup thì có cách khác là dùng mimikatz như plugin của volatility nên mình có tìm hiểu.

Để analyze file thì mình load file và xem thử password:


mimikatz # sekurlsa::minidump dump.dmp
Switch to MINIDUMP : 'dump.dmp'

mimikatz # sekurlsa::logonpasswords
Opening : 'dump.dmp' file for minidump...

Authentication Id : 0 ; 370922 (00000000:0005a8ea)
Session           : Interactive from 1
User Name         : Admin
Domain            : TERMINALATOR
Logon Server      : TERMINALATOR
Logon Time        : 12/14/2018 11:35:09 AM
SID               : S-1-5-21-1143486773-2803761100-3357382775-1000
        msv :
         [00000003] Primary
         * Username : Admin
         * Domain   : TERMINALATOR
         * NTLM     : 7f59db8bb7564b0774aae7ccb7ca594b
         * SHA1     : caa5c83a1f28c9e51aeb5727adea95c4fd2f5dfa
         [00010000] CredentialKeys
         * NTLM     : 7f59db8bb7564b0774aae7ccb7ca594b
         * SHA1     : caa5c83a1f28c9e51aeb5727adea95c4fd2f5dfa
        tspkg :
        wdigest :
         * Username : Admin
         * Domain   : TERMINALATOR
         * Password : KeepGoingYouAreOnTheRightTrack<3

Ok vậy là mình đúng, tuy nhiên thì mình lại fail ở bước này vì mình cứ nghĩ config một máy ảo làm sao cho đúng password và username để unblob được file database. Sau mấy tiếng search hơn chục page google và stackoverflow, cuối cùng mình mới chắc chắn rằng chỉ có thể decrypt trên chính máy tạo ra file database.

Wednesday, December 12, 2018

[Writeup] Otter CTF 2018 - Memory forensics

By  at December 12, 2018  , , ,  No comments

1 - What the password?

Vừa đọc tên đề bài mình liền nghĩ đến một bài trước đây từng làm trên Root-me. Với yêu cầu này mình cần phải dump được 2 file SYSTEM và SAM. Tuy nhiên sau khi làm cách này mình không thể decrypt đươc đoạn hash nên đã phải dừng và làm những câu khác. Sau đó khi làm lại thì mình kỹ hơn các plugin của Volatility thì phát hiện một plugin rất hay đó là lspdump. Nhưng trước hết thì vẫn phải dùng plugin quen thuộc imageinfo để có được profile đã.


$ volatility -f OtterCTF.vmem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/binh/Desktop/CTF/otter/OtterCTF.vmem)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf80002c430a0L
          Number of Processors : 2
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff80002c44d00L
                KPCR for CPU 1 : 0xfffff880009ef000L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2018-08-04 19:34:22 UTC+0000
     Image local date and time : 2018-08-04 22:34:22 +0300

Như vậy là file vmem này dùng Win7. Tiếp đó dùng lsadump để có password của Rick.


$ volatility -f OtterCTF.vmem --profile=Win7SP1x64 lsadump
Volatility Foundation Volatility Framework 2.6
DefaultPassword
0x00000000  28 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   (...............
0x00000010  4d 00 6f 00 72 00 74 00 79 00 49 00 73 00 52 00   M.o.r.t.y.I.s.R.
0x00000020  65 00 61 00 6c 00 6c 00 79 00 41 00 6e 00 4f 00   e.a.l.l.y.A.n.O.
0x00000030  74 00 74 00 65 00 72 00 00 00 00 00 00 00 00 00   t.t.e.r.........

DPAPI_SYSTEM
0x00000000  2c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ,...............
0x00000010  01 00 00 00 36 9b ba a9 55 e1 92 82 09 e0 63 4c   ....6...U.....cL
0x00000020  20 74 63 14 9e d8 a0 4b 45 87 5a e4 bc f2 77 a5   .tc....KE.Z...w.
0x00000030  25 3f 47 12 0b e5 4d a5 c8 35 cf dc 00 00 00 00   %?G...M..5......

flag: CTF{MortyIsReallyAnOtter}

2 - General Info

Bài này yêu cầu tìm tên máy tính và địa chỉ IP. Về địa chỉ IP thì mình khá chắc là địa chỉ private chứ không phải là public. Sau khi dùng netscan thì mình càng tự tin hơn.

$ volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan
Volatility Foundation Volatility Framework 2.6

Offset(P)          Proto    Local Address                  Foreign Address      State            Pid      Owner          Created
0x7d60f010         UDPv4    0.0.0.0:1900                   *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:17 UTC+0000
0x7d62b3f0         UDPv4    192.168.202.131:6771           *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:22 UTC+0000
0x7d62f4c0         UDPv4    127.0.0.1:62307                *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:17 UTC+0000
0x7d62f920         UDPv4    192.168.202.131:62306          *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:17 UTC+0000
0x7d6424c0         UDPv4    0.0.0.0:50762                  *:*                                   4076     chrome.exe     2018-08-04 19:33:37 UTC+0000
0x7d6b4250         UDPv6    ::1:1900                       *:*                                   164      svchost.exe    2018-08-04 19:28:42 UTC+0000
0x7d6e3230         UDPv4    127.0.0.1:6771                 *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:22 UTC+0000
0x7d6ed650         UDPv4    0.0.0.0:5355                   *:*                                   620      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d71c8a0         UDPv4    0.0.0.0:0                      *:*                                   868      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d71c8a0         UDPv6    :::0                           *:*                                   868      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d74a390         UDPv4    127.0.0.1:52847                *:*                                   2624     bittorrentie.e 2018-08-04 19:27:24 UTC+0000
0x7d7602c0         UDPv4    127.0.0.1:52846                *:*                                   2308     bittorrentie.e 2018-08-04 19:27:24 UTC+0000
0x7d787010         UDPv4    0.0.0.0:65452                  *:*                                   4076     chrome.exe     2018-08-04 19:33:42 UTC+0000
0x7d789b50         UDPv4    0.0.0.0:50523                  *:*                                   620      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d789b50         UDPv6    :::50523                       *:*                                   620      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d92a230         UDPv4    0.0.0.0:0                      *:*                                   868      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d92a230         UDPv6    :::0                           *:*                                   868      svchost.exe    2018-08-04 19:34:22 UTC+0000
0x7d9e8b50         UDPv4    0.0.0.0:20830                  *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:15 UTC+0000
0x7d9f4560         UDPv4    0.0.0.0:0                      *:*                                   3856     WebCompanion.e 2018-08-04 19:34:22 UTC+0000
0x7d9f8cb0         UDPv4    0.0.0.0:20830                  *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:15 UTC+0000
0x7d9f8cb0         UDPv6    :::20830                       *:*                                   2836     BitTorrent.exe 2018-08-04 19:27:15 UTC+0000
0x7d8bb390         TCPv4    0.0.0.0:9008                   0.0.0.0:0            LISTENING        4        System         
0x7d8bb390         TCPv6    :::9008                        :::0                 LISTENING        4        System         
0x7d9a9240         TCPv4    0.0.0.0:8733                   0.0.0.0:0            LISTENING        4        System         
0x7d9a9240         TCPv6    :::8733                        :::0                 LISTENING        4        System         
0x7d9e19e0         TCPv4    0.0.0.0:20830                  0.0.0.0:0            LISTENING        2836     BitTorrent.exe 
0x7d9e19e0         TCPv6    :::20830                       :::0                 LISTENING        2836     BitTorrent.exe 
0x7d9e1c90         TCPv4    0.0.0.0:20830                  0.0.0.0:0            LISTENING        2836     BitTorrent.exe 
0x7d42ba90         TCPv4    -:0                            56.219.196.26:0      CLOSED           2836     BitTorrent.exe 
0x7d6124d0         TCPv4    192.168.202.131:49530          77.102.199.102:7575  CLOSED           708      LunarMS.exe    
0x7d62d690         TCPv4    192.168.202.131:49229          169.1.143.215:8999   CLOSED           2836     BitTorrent.exe 
0x7d634350         TCPv6    -:0                            38db:c41a:80fa:ffff:38db:c41a:80fa:ffff:0 CLOSED           2836     BitTorrent.exe

Phần scan cho ra khá nhiều process tuy nhiên mình chỉ upload đoạn đầu vì nó đủ cho ta biết đáp án của câu này còn phần mình tô xanh được dùng cho câu 3.

Sunday, December 2, 2018

Tìm hiểu mã QR

By  at December 02, 2018  , , ,  No comments


QR là viết tắt của quick response, là một loại mã vạch đặc biệt có thể mã hóa thông tin như số, chữ cái, và kí tự kanji được tạo bởi công ty Denso-Wave là một công ty con của tập đoàn Toyota.

Hiện nay có rất nhiều loại QR code như:
- QR code model 1 & 2: loại chúng ta thường thấy.
- Micro QR code: một loại QR code nhỏ.
- SQRC, iQR code, frame QR code,...

Trong bài viết này mình sẽ chỉ tập trung vào QR code model 2 vì từ tháng 9 năm 2006 ISO ISO/IEC 18004 cũng đã loại việc đọc mã QR code model 1 (đoạn này mình không biết nói sao cho đúng ý nhất nhưng vì sự vượt trội của QR model 2 nên phải loại model 1 để có tính thống nhất ấy).

QR model 1

Mã QR code gốc có thể mã hóa 1167 số và có tối đa 14 phiên bản (73x73)

QR model 2

Bản cải thiện của model 1 có thể mã hóa 7089 số và có tối đa 40 phiên bản (177x177).

Mã QR luôn có hình vuông và được phân chia làm 40 phiên bản dựa vào kích thước của chúng.

Phiên bản 1 sẽ có kích thước là 21x21.
Phiên bản 2 sẽ có kích thước là 25x25.
Phiên bản 3 sẽ có kích thước là 29x29.
....
Và cứ mỗi phiên bản sau sẽ lớn hơn phiên bản trước 4 đơn vị và đến phiên bản tối đa là 40 với kích thước là 177x177.

Kích thước của mã QR được xác định bởi công thức:

(V-1)*4+21
với V là phiên bản mã QR

Vây với phiên bản 30 ta sẽ có kích thước là 137x137.

Về kích thước:
Chắc hẳn các bạn sẽ thắc mắc tại sao có những ảnh phiên bản khác nhau nhưng lại cùng kích thước. Lý do là kích thước đó phụ thuộc vào bạn quy định bao nhiêu pixel cho một hàng, cột. Nếu bạn quy định 1 pixel là 1 hàng và 1 cột thì kích thước của 2 ảnh chắc chắn sẽ khác nhau. Vì vậy thay vì quyết định dựa trên số pixel của bức ảnh hãy dựa vào số hàng và cột của QR code đó. Trong bài viết này mình dựa vào hàng và cột như vậy sẽ dễ phân biệt và thuận tiện hơn trong bài viết.

Về dung lượng:
Dung lượng của mã QR phụ thuộc vào cấp độ sửa lỗi và phiên bản. Có bốn chế độ dữ liệu bao gồm: số, chữ và số, nhị phân, chữ kanji. Và bốn chế độ sửa lỗi: L, M, Q, H (mình sẽ nói kỹ hơn ở dưới). Các bạn có thể truy cập trang này đễ xem dung lượng tối đa mà mã QR có thể chứa dựa trên cấp sửa lỗi.

Về màu sắc mã:
QR luôn có hai màu là đen và trắng trong đó đen sẽ đại diện cho bit 1 còn trắng đại diện cho bit 0.

Cấu trúc của mã QR được thể hiện qua hình sau:



Vùng finder

Vùng finder là 3 ô vuông đen lớn ở ba góc trái trên, phải trên và trái dưới  bất kể phiên bản mã QR nào. Vùng này giúp cho thiết bị đọc mã xác định đươc ảnh QR và thực hiện việc đọc dữ liệu. Chính nhờ có vùng này mà khi chúng ta quay ảnh QR ngang, chéo thì điên thoại chúng ta vẫn có thể đọc được.
Mỗi ô vuông của vùng finder luôn có viền màu đen bên ngoài kích thước là 7 bên trong là một hình vuông trắng kích thước 5 và ở giữa là ô vuông đen 3x3.



Để xác định ví trị đặt 3 ô finder ta có công thức tính như sau:
Góc trái trên luôn luôn đặt tại vị trí (0,0)
Góc trái dưới đặt tại ví trí (x,0)
Góc phải trên đăt tại ví trí(0,y)
Trong đó x,y được tính bằng công thức:

(V-1)*4+14

với V là phiên bản mã QR.
Phiên bản 1

Vùng separators
Là vùng trắng bao quanh vùng finder giúp tách vùng finder và phần còn lại của mã QR.

Sunday, November 25, 2018

[Writeup] TuCTF 2018

By  at November 25, 2018  , , , , ,  No comments

Reverse

Danger Zone:
Đề bài cho ta một file pyc và khi thực thi ta được một đoạn string: =YR2XYRGQJ6KWZENQZXGTQFGZ3XCXZUM33UOEIBJ. Trông có vẻ giống chuỗi base64 bị đảo ngược, nhưng khi decode thì mình lại kí tự không đọc được nên mình thử reverse lại source code xem sao. Dùng Easy Python Decompiler mình có được source code của chương trình.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
# Embedded file name: ./dangerzone.py
import base64

def reverse(s):
    return s[::-1]


def b32decode(s):
    return base64.b32decode(s)


def reversePigLatin(s):
    return s[-1] + s[:-1]


def rot13(s):
    return s.decode('rot13')


def main():
    print 'Something Something Danger Zone'
    return '=YR2XYRGQJ6KWZENQZXGTQFGZ3XCXZUM33UOEIBJ'


if __name__ == '__main__':
    s = main()
    print s

Đọc source thì chúng ta đã có hết các hàm decode, nếu vậy thì chúng ta chỉ cần chỉnh sửa lại hàm main một tí thì sẽ có flag.


1
2
3
4
5
6
if __name__ == '__main__':
    s = main()
    s=reverse(s)
    s=b32decode(s)
    s=reversePigLatin(s)
    print s
Flag: TUCTF{r3d_l1n3_0v3rl04d}

yeahright:

Mở file binary bằng IDA ta có thể dễ dàng nhìn thấy chương trình sẽ so sánh chuỗi ta nhập vào với biến pass, nếu đúng sẽ in ra flag còn nếu sai sẽ in ra yeahright.

Tìm biến pass trong IDA mình nhanh chóng tìm được giá trị của nó:


Pass là: 7h3_m057_53cr37357_p455w0rd_y0u_3v3r_54w
Ok giờ chỉ việc gửi lên server và lấy flag thôi.
Flag: TUCTF{n07_my_fl46_n07_my_pr0bl3m}

shoop:

 Lại là yêu cầu nhập password, mình tiếp tục mở file binary bằng IDA, tuy nhiên bài này khó hơn bài yeahright vì password đã bị biến đổi:


Vòng for đầu tiên có nhiệm vụ đưa chuỗi ta nhập vào một mảng. Vòng for thứ hai biến đổi chuổi ta nhập vào bằng cách dời lui kí tự  đi 5 đơn vị (xét theo bảng ascii) ví dụ: 'A' -> '<', 'B' -> '=',...
Vòng for thứ ba đảo vị trí các kí tự trong chuổi s sau khi đã thực hiện bước 2.

Wednesday, October 17, 2018

[Writeup] PicoCTF2018 - Web

By  at October 17, 2018  , , ,  No comments

Inspect Me - Points: 125 

- Bài này vào view source ta sẽ có 1/3 flag sau đó click vào mycss.css ta sẽ có được nửa flag còn lại.

Flag: picoCTF{ur_4_real_1nspect0r_g4dget_b4887011}

Client Side is Still Bad - Points: 150

- View source ta sẽ có được hàm check pass và thấy rằng flag đã bị tách ra làm nhiều hàm so sánh và bị viết ngược từ dưới lên. Copy ra và xếp lại cho đúng thì mình có được flag.

Flag: picoCTF{client_is_bad_9117e9}

Logon - Points: 150

- Dùng burpsuite khi đăng nhập ta sẽ thấy cookie có biến Admin = False vậy ta sửa lại bằng True thì sẽ có flag

Flag: picoCTF{l0g1ns_ar3nt_r34l_aaaaa17a}

Irish Name Repo - Points: 200

- Một bài sql injection cơ bản. Để login vào admin, mình dùng username đơn giản nhất là: admin' --và có được flag.

Flag: picoCTF{con4n_r3411y_1snt_1r1sh_c0d93e2f}

Mr. Robots - Points: 200

- Robots? Ý đề bài là file robots.txt? Mình thử truy cập: http://2018shell2.picoctf.com:60945/robots.txt và có được thông tin về file: /65c0c.html sau khi truy cập http://2018shell2.picoctf.com:60945/65c0c.html mình có được flag.

Flag: picoCTF{th3_w0rld_1s_4_danger0us_pl4c3_3lli0t_65c0c}


No Login - Points: 200

- Câu này nếu dùng Burp để ý khi nhấn vào hàm Flag, ta sẽ có Cookie để trống và session là dòng not admin... thì ta chỉ cần xoá session và thêm admin vào sau cookie sẽ được flag.



Flag: picoCTF{n0l0g0n_n0_pr0bl3m_3184f702}

Secret Agent - Points: 200

- Bài này nếu ta bấm vào function Flag ta sẽ có thông báo You're not google! Và kèm theo agent của trình duyệt. Vậy làm sao để có thể là google? Set agent là google sao?

Monday, October 15, 2018

[Writeup] PicoCTF2018 - Forensics

By  at October 15, 2018  , , ,  No comments

Warmup 1 - Points: 50


- Extract file zip ta có được flag

Flag: piocCTF{welcome_to_forensics}

Warmup 2 - Points: 50 


- Dựa vào header của file ta phải đổi đuôi thành .jpeg thay vì png nhưng mà windows thì nó mở vẫn được không cần đuôi nên cứ thế mà múc :v

Flag: piocCTF{extensions_are_a_lie}

Desrouleaux - Points: 150



- Bài này chúng ta dựa vào file json của ban tổ chức cung cấp rồi trả lời những câu hỏi.

Câu 1: Địa chỉ IP nguồn nào phổ biến nhất?
 + Cái này mỗi acc mỗi khác các bạn cứ thống kê từng src Ip rồi dùng chức năng count trong notepad ++ đếm sau đó ghi lại.

Câu 2: Có bao nhiêu địa chỉ đích nhận gói tin từ địa chỉ nguồn 43.250.172.185?
 + Tương tự câu 1 count là ra

Câu 3: Số trung bình mà 1địa chỉ IP đích gửi file cùng với một chuỗi hash?
  + Đầu tiên ta phải xác định có bao nhiêu hash. Thì trong file json của mình, mình tổng hợp được có 7 cái như sau:

 + Sau đó đếm xem có bao nhiêu địa chỉ IP được 9:
 + Chia trung bình và lấy 2 chữ số ở hàng thập phân ta có 9 / 7 = 1.28

Flag: picoCTF{J4y_s0n_d3rUUUULo_b6cacd6c}

Reading Between the Eyes - Points: 150


Sử dụng Zsteg và ta sẽ có được flag



Flag: picoCTF{r34d1ng_b37w33n_7h3_by73s}

Recovering From the Snap - Points: 150


Ta được cung cấp một file disk vậy thì ta sẽ sử dụng AutoSpy để mở nó lên. Việc đầu tiên cho những bài này là mình sẽ vào mục Deleted Files để xem đầu tiên.

Monday, September 24, 2018

[Writeup] Ice CTF 2018 - Forensics

By  at September 24, 2018  , ,  No comments

Modern Picasso:
Trong bài này chúng ta có một file gif và nhìn hình thì ta có thể đoán rằng nếu tất cả các frame cùng ghép lại thành một bức ảnh thì có thể có được một bức hình chứa gì đó như QR code chẳng hạn.


Vậy việc đầu tiên mình làm là extract hết tất cả các frame của ảnh gif này, mình dùng trang https://image.online-convert.com/convert-to-png để convert tất cả các frame trong ảnh gif sang png.

Tiếp theo mình sử dụng photoshop đẻ ghép tất cả các frame, nhưng nó khá mệt vì công đoạn chuyển đổi lọc nền trắng trong photoshop rất mất thời gian. Sau khi đọc thì mình biết được GIMP có hẳn một chức năng hỗ trợ người dùng xoá background đó là Color to Alpha. 

Khởi động GIMP ---> File ---> Open as Layer sau đó mở các frame đã extract. Sau đó click chọn từng ảnh và vào Colors ---> Color to Alpha


Sau khi xoá toàn bộ background màu trắng thành trong suốt mình có được flag:

*Tuy nhiên có một cách nhanh hơn đó là dùng imagemagick trên linux ta dùng lệnh:
convert picasso.gif -transparent white picasso_transparent.gif
để convert tất cả sang transparent rồi merge lại để ra flag

IceCTF{wow_fast}

Hard Shells:

Trong thử thách ta được một file zip (sử dụng lệnh file của linux)

Thursday, September 13, 2018

[Writeup] OverTheWire - Natas: Leve0 - level10

By  at September 13, 2018  , , ,  No comments
Hôm nay lướt lại vài bài CTF cũ chợt nhận ra mình đã để trang blog này mốc meo cũng đã 4 tháng rồi nên hôm nay mình kiếm cái gì đó để viết, để học,... Trang hôm nay mình muốn nhắm tới là overthewire.org, một trang hay và chứa rất nhiều kiến thức basic. SVATTT cũng cận kề, và mình cũng nhận ra không có đất cho những người làm Forensics như mình nữa mà mình cần phải tự try hard các mảng khác mà web, reverse, pwn là 3 mảng chính là 3 yếu tố quyết định thứ hạng...

Level0: Truy cập site đầu tiên với username và password đã được cho, dựa vào hint:

You can find the password for the next level on this page.

Ta có thể đoán được flag chắc nằm trong source code, ctrl+u ta có được password của level tiếp theo.

Password: gtVrDuiDfck831PqWsLEZy5gyDz1clto 

Level1: Bài này cũng giống như level0 nhưng không cho phép sử dụng chuột phải, trong khi đó mình lại dùng ctrl+u để xem source code nên cũng không đáng ngại. 😀

Password: ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi

Level2: Xem source code ta thấy rằng có tab img là tab hiển thị hình ảnh trong html nhưng lại không có ảnh nào hiển thị trong trang thử click vào nhưng không có gì ngoài một màu đen. Ta để ý đường dẫn là files/pixels.png vậy ta thử xoá pixels.png để truy cập thư mục files xem sao. Ta thấy ngay có 1 file là user.txt, click vào ta sẽ thấy 2 cột username password và có tài khoản của natas lv3.

Pasword: sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

Level3: Xem source code có dòng chữ :

No more information leaks!! Not even Google will find it this time...

Dòng đó ý muốn nói đến file robots.txt vì file này là dạng file không cho search engine truy cập vào một hình ảnh, đường dẫn,... nào đó của trang web. Vậy thì ta thử mở file robots.txt lên xem sao. Ngay lập tức ta thấy thư mục s3cr3t. Truy cập vào thư mục này ta thấy có file users.txt. Click chọn ta có được username và password của level4.

Password: Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ

Level4: Hmm, nhìn vào hint:

Access disallowed. You are visiting from "http://natas4.natas.labs.overthewire.org/" while authorized users should come only from "http://natas5.natas.labs.overthewire.org/" 

Có nghĩa là ta phải visit từ http://natas5.natas.labs.overthewire.org/ Vậy làm sao ta có thể visit từ website đó. Sử dụng burpsuite mình thấy dòng referer của header, ok vậy thì sửa lại sao cho đúng yêu cầu là sẽ được thôi.

Password: iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq

Sunday, May 20, 2018

[Writeup] VNPT-SECATHON 2018 - Misc

By  at May 20, 2018  , , , , ,  No comments

Simste

Trong bài này ban tổ chức cho chúng ta đoạn teaser trailer Chạy ngay đi của Sếp.




Ngay khi nhìn vào dung lượng của tập tin mp4, thì mình biết chắc chắn rằng nó đang giấu một file gì đó.

Mở file mp4 bằng binwalk hay foremost cũng không thấy gì khác biệt, nên mình đành làm nước cuối cùng đó là tải luôn đoạn teaser của Sếp về để xor, và ngay lập tức mình có được file wav đã bị đổi header. Và nó bị đổi header thì chúng ta phải sửa lại cho đúng

từ


thành


sau khi có được file wav, trong lúc thi mình có nghĩ đến kĩ thuật lsb và đã sử dụng wavesteg để lấy flag nhưng đáng buồn là mình chỉ sử dụng 1 lsb để decode và ra được 1 nữa flag.



 Cho đến lúc chiều khi ban tổ chức có hint là ack mình vẫn không biết đó là kĩ thuật gì. Sau khi cuộc thi kết thúc mình có hỏi và được mấy anh trong Zepto team thì mới biết đó là kĩ thuật dubstep data encoding, một kĩ thuật rất mới ( mình từng có lướt qua twitter của DEFCON và thấy kĩ thuật này nhưng hình như lúc đó đang cày quest book TI8 nên bỏ qua luôn thì phải 😭 ). Các bạn có thể tham khảo kĩ thuật này tại đây.

Tuesday, May 1, 2018

[Writeup] Mates SS2 Round 4 - Forensics caigidzay

By  at May 01, 2018  , , ,  No comments
Trong thử thách này để bài là một file dump, mbr/dos nên mình sẽ dùng auto spy để mở nó xem sao. Đập vào mắt mình là flag.jpg.



Mình tốn kha khá thời gian với bức ảnh này vì lúc đầu tưởng đây là thử thách về stegano tuy nhiên sau khi đọc lại miêu tả đề và thiết nghĩ thì nếu stegano thì ban tổ chức chỉ cần cho file ảnh là xong chứ ai lại cú lừa cho file 6gb để làm stegano :D

Đọc lại miêu tả thì Mr.John gửi file flag hay đại loại cái gì đó qua mail thì sẽ hợp lý hơn.
Sau một hồi tìm banh mắt giữa 857 cái mail, giỡn chứ mình bấm chữ j để kiếm john trước  chứ sao đọc hết nhiêu đó cái mail được :D, thì mình thấy được rằng mail này được gửi cho leia, kiểm tra xem có mail của leia không nào.



Ngay lập tức ta biết đây là người john đã gửi file x gì gì đó, extract hết ra và mở file Outbox.dbx bằng Turgs DBX Viewer ta càng khẳng định đây là file mà John đã leak ra ngoài.