Misc
Round 2 Sanity Check
Theo miêu tả của đề bài, tác giả nhấn mạnh vào chữ rotate, nên mình google với từ khóa rotate decrypt và truy cập trang http://rumkin.com/tools/cipher/rotate.php sau khi thử với Box width bằng 6 thì mình có được flag
Flag: matesctf{s4n1ty_ch3ck}
Theo miêu tả của đề bài, tác giả nhấn mạnh vào chữ rotate, nên mình google với từ khóa rotate decrypt và truy cập trang http://rumkin.com/tools/cipher/rotate.php sau khi thử với Box width bằng 6 thì mình có được flag
Flag: matesctf{s4n1ty_ch3ck}
Forensics
Chúng ta có 2 file, một file dump và 1 file Login Data của Chrome. Btc yều cầu nhập mật khẩu của facebook -> flag là password của account được lưu trong file dump. Sau khi dùng volatility không thành công mình để ý đến header thì nó là file minidump mà dạng file này thì dùng mimikatz là best. Bài này cũng hên là trong giải OtterCTF vừa rồi ngoài cách mình viết trong writeup thì có cách khác là dùng mimikatz như plugin của volatility nên mình có tìm hiểu.
Để analyze file thì mình load file và xem thử password:
mimikatz # sekurlsa::minidump dump.dmp Switch to MINIDUMP : 'dump.dmp'
mimikatz # sekurlsa::logonpasswords
Opening : 'dump.dmp' file for minidump...
Authentication Id : 0 ; 370922 (00000000:0005a8ea)
Session : Interactive from 1
User Name : Admin
Domain : TERMINALATOR
Logon Server : TERMINALATOR
Logon Time : 12/14/2018 11:35:09 AM
SID : S-1-5-21-1143486773-2803761100-3357382775-1000
msv :
[00000003] Primary
* Username : Admin
* Domain : TERMINALATOR
* NTLM : 7f59db8bb7564b0774aae7ccb7ca594b
* SHA1 : caa5c83a1f28c9e51aeb5727adea95c4fd2f5dfa
[00010000] CredentialKeys
* NTLM : 7f59db8bb7564b0774aae7ccb7ca594b
* SHA1 : caa5c83a1f28c9e51aeb5727adea95c4fd2f5dfa
tspkg :
wdigest :
* Username : Admin
* Domain : TERMINALATOR
* Password : KeepGoingYouAreOnTheRightTrack<3
Ok vậy là mình đúng, tuy nhiên thì mình lại fail ở bước này vì mình cứ nghĩ config một máy ảo làm sao cho đúng password và username để unblob được file database. Sau mấy tiếng search hơn chục page google và stackoverflow, cuối cùng mình mới chắc chắn rằng chỉ có thể decrypt trên chính máy tạo ra file database.