[Writeup] Whitehat Contest 4

For100

Mạng máy tính Natasha sử dụng bị hacker “nghe” lén, nhiều thông tin nhạy cảm đã bị lộ ra.
Dữ liệu hacker thu thập được dump ra file

Link dự phòng

Bài này là PCAP, tuy nhiên do size khá nhỏ nên có thể xem bằng Notepad++ cũng được.

26-04-2014 10-28-25

Ta thấy có 2 chuỗi Base64, nhưng ngay dưới chuỗi đầu tiên là thông báo Password Incorrect nên tạm bỏ qua. Decode chuỗi 2 ra Flag:

For200

Trong một vụ điều tra, máy tính của hacker đã bị thu giữ và từ đây các điều tra viên phát hiện nhiều dữ liệu đặc biệt trên ổ cứng đã bị cố tình xóa nhằm che dấu hành vi phạm tội.

Tải file dump 

Link dự phòng

Giải nén file ZIP ta được file data.001.

Dựa theo đề bài thì có vẻ như là khôi phục dữ liệu, có nhiều cách để làm, ở đây mình dùng foremost.

Việc đầu tiên là phải mở hết mớ file này, nhìn thật kỹ từng chữ (với docx, pdf) và từng pixel (với jpg). Cũng đặc biệt lưu ý đến các khoảng trắng, điều này đã được nhắc đến trong một tập của bộ truyện tranh trinh thám nổi tiếng Conan (tác giả Gosho Aoyama, hiện đang ở chương 894 và chưa có dấu hiệu sẽ kết thúc, các bạn quan tâm có thể đón đọc tại diễn đàn KenhSinhVien.net).

26-04-2014 11-36-25

Sau khi không thấy gì khả thi, mình sẽ thử search xem có flag hay không:

Vẫn không có gì. Ok, giờ là lúc để giải nén mấy file docx kia và xem có gì không.

For300

Dữ liệu bộ nhớ(RAM) trên máy tính đã cho thấy người dùng đã có những hành động đáng ngờ
Tải file dump tại đây hoặc link dự phòng

Không mấy khả quan, tuy nhiên mình vẫn đặt niềm tin vào BTC.

Theo những gì mình từng đọc thì thường việc đầu tiên người ta làm là xem danh sách các tiến trình đang chạy.

Dễ thấy DumpIt.exe chính là gợi ý của BTC, Dump nghĩa là Dump, It nghĩa là Nó :suy ra: DumpIt = Dump Nó (tức muốn nói rằng hãy dump nó, vì nó có flag).

Mở file này trong OllyDbg, chúng ta có thể thấy ngay rằng Flag nằm ở… chỗ khác , và thực ra thì DumpIt là tên một phần mềm
Xem lại một lần nữa để chắc chắn rằng không còn tiến trình nào khả nghi, mình quyết định chuyển qua thể loại coi history của cmd.

Mỗi lần request lên thì nhận được 1 ký tự khác nhau, và có vẻ đang chuẩn bị in ra Flag{…}
Decode các chuỗi payload ta có:

Như vậy dễ thấy là giá trị của index thay đổi theo bước nhảy 1, 3, 5, 7, 9, …, 69… Cụ thể là từ 0 lên 1 (tăng 1), từ 1 lên 4 (tăng 3), từ 4 lên 9 (tăng 5)… cứ như vậy… như vậy… như vậy…

9 Responses

  1. Chinked Eyes says:

    anh ơi… còn bài for 400 sao không giải quyết lun vậy anh :D. em đang rất hóng bài của anh đấy
    cảm ơn a nhé 😀

  2. NNT says:

    Ở bài for2. Đến bước recover sử dụng foremost bạn dùng command gì của foremost mà lại ra tới 6 file trong folder docx vậy? Mình làm chỉ ra 3 file nên không thấy có file chứa flag.

    • yeuchimse says:

      Có 3 file thôi mà bạn: 00061688.docx, 00342176.docx, 00348448.docx.
      Còn xxx_FILES là các thư mục sau khi giải nén, do về bản chất thì file docx chính là file zip ^_^

  3. Chinked Eyes says:

    chào anh.. ở bài for400 anh còn giữ tập tin đề không, cho em xin được không ạ. cảm ơn!

  1. 04/05/2014

    […] [Writeup] Whitehat Contest 4 – Yêu Chim Sẻ […]

Comments are better than likes...

%d bloggers like this: