Tuesday, May 1, 2018

[Writeup] Mates SS2 Round 4 - Forensics caigidzay

By  at May 01, 2018  , , ,  No comments
Trong thử thách này để bài là một file dump, mbr/dos nên mình sẽ dùng auto spy để mở nó xem sao. Đập vào mắt mình là flag.jpg.



Mình tốn kha khá thời gian với bức ảnh này vì lúc đầu tưởng đây là thử thách về stegano tuy nhiên sau khi đọc lại miêu tả đề và thiết nghĩ thì nếu stegano thì ban tổ chức chỉ cần cho file ảnh là xong chứ ai lại cú lừa cho file 6gb để làm stegano :D

Đọc lại miêu tả thì Mr.John gửi file flag hay đại loại cái gì đó qua mail thì sẽ hợp lý hơn.
Sau một hồi tìm banh mắt giữa 857 cái mail, giỡn chứ mình bấm chữ j để kiếm john trước  chứ sao đọc hết nhiêu đó cái mail được :D, thì mình thấy được rằng mail này được gửi cho leia, kiểm tra xem có mail của leia không nào.



Ngay lập tức ta biết đây là người john đã gửi file x gì gì đó, extract hết ra và mở file Outbox.dbx bằng Turgs DBX Viewer ta càng khẳng định đây là file mà John đã leak ra ngoài.





Trong phần attachments có 1 file doc tên là org_contract.doc. Dùng auto spy tìm theo tên file và extract ra. Oh có password lúc đó cứ nghĩ tới cái hình flag đầu tiên kèm theo cái game trong nội dung mail trên mình thử các kiểu dota2 nhưng không đúng lúc đó kiểu ơ btc xài chiêu à. Nhưng khi đọc lại mail thì hình như mình đã bỏ qua dòng

About the password to open the file, you should overlook somewhere, it's already included in the file

 thử tìm lại trong file doAbout the password to open the file, you should overlook somewhere, it's already included in the file, thử dùng lệnh strings trong linux ez ta có 1 link imgur:

https://imgur.com/a/qHeqyqm


Lại một lần nữa Doãn huynh xuất hiện, cú lừa lần 2 chăng? :S Thử tải về và dùng zsteg, wew lần này là thật :v đơn giản ta có được password của file doc:

Would yout like to open the gate to the super secret treasure?
You must be a chosen one, trust me, otherwise you're not qualified enough. Poor you!
unless you answered this question, the ancient guardian might take a look at it. 
It's a key to heal up your life.
"What is the largest value that a signed int32 can store?"
It may starts with the number two, I mean the decimal.


Đó là số int32 lớn nhất: 2147483647

Cứ ngỡ có được flag để submit nào ngờ lại phải thêm 1 bước nữa là decrypt cái đống webdings trong file doc @@ :

Mình đổi sang wingdings rồi dùng trang này để dịch ra flag



Lúc ra flag mình đang học thực hành trên trường nên để lap 1 bên để dùng máy trường chọn mấy cái hình cho tiện nên chụp đại bằng điện thoại, mọi người thông cảm :))

Related Posts:

  • [Writeup] Otter CTF 2018 - Memory forensics 1 - What the password? Vừa đọc tên đề bài mình liền nghĩ đến một bài trước đây từng làm trên Root-me. Với yêu cầu này mình cần phải dump được 2 file SYSTEM và SAM. Tuy nhiên sau khi làm cách này mình không thể decrypt đươc đ… Read More
  • [Writeup] Sunshine CTF 2019 Forensics Golly It's a code of Golly rle file, when I run a code given I just have a alphabet table: Run it and nothing else, I read a rle file document at here. And I know a "$" represents the end of each row and a… Read More
  • [Writeup] TuCTF 2018 Reverse Danger Zone: Đề bài cho ta một file pyc và khi thực thi ta được một đoạn string: =YR2XYRGQJ6KWZENQZXGTQFGZ3XCXZUM33UOEIBJ. Trông có vẻ giống chuỗi base64 bị đảo ngược, nhưng khi decode thì mình lại kí tự không đọc đ… Read More
  • Tìm hiểu mã QR QR là viết tắt của quick response, là một loại mã vạch đặc biệt có thể mã hóa thông tin như số, chữ cái, và kí tự kanji được tạo bởi công ty Denso-Wave là một công ty con của tập đoàn Toyota. Hiện nay có rất nhiều loại QR … Read More
  • [Writeup] Mates SS3 Round 4 Programing Đề bài làm bắt chúng ta phải làm sao từ 2 bình nước x, y có thể tích vx, vy và phải đong nước làm sao cho được z lít. Đây là bài toàn đong nước kinh điển, may mắn là mình đã được học qua ở trường nên có thể làm đ… Read More

0 comments:

Post a Comment