M4ndU의 만두만두한 블로그

말 많았던 핵테온 세종

https://www.dailysecu.com/news/articleView.html?idxno=145171 

대회 운영, 문제 퀄리티, 게싱 문제 논란 등 예선이랑 달라진 것이 없다.

참가자 숙소가 카라반인거, 식사 제공, 늦은 대회 안내 등의 문제도 있고

디스코드 채널은 만들고 대회 끝나면 싹 닫아버리고

외국 참가자들도 있는데 본선 일정 중 공지와 qna는 카카오톡 오픈 챗방?

오픈 챗방도 행사 종료됐다며 바로 닫아버렸다.

https://www.boannews.com/media/view.asp?idx=116956 

https://www.dailysecu.com/news/articleView.html?idxno=146065 

일단 포렌식이랑 Misc 두 문제를 보자.

일단 Misc

문제 설명은 Find a key가 다다.

Travel 파일이 주어지는데, 압축파일이다.

.zip을 붙여서 열어보면 ms office word 파일임을 알 수 있다.

Final 폴더 내의 파일들을 압축을 풀어내고 다시 압축을 해서 .doc로 파일명을 바꾸면 열 수 있다.

뒤에 연결된 이미지를 표시할 수 없다는 내용은 해당 이미지가 rId4 -> media/image1.png 를 참조하는데, media/image1.jpg는 있지만 image1.png는 없기 때문이다.

media 폴더에 이미지 파일이 많이 있다.

Sejong Tour Plan!!.png 이미지를 보면 4곳의 스탬프를 모아서 플래그를 찾으라는 것으로 보인다.

binwalk 명령어를 사용해서 Sejong Tour Plan!!.png 이미지에 표시된 이미지에 해당되는 파일 image2.png, image5.jpg, image7.jpg, image9.jpg에서 end시그니쳐 뒤에 붙어있는 다른 이미지 파일을 분리해낼 수 있다.

이를 방법을 통해 Stamp 이미지 4개를 찾을 수 있으며, 각 스탬프 이미지에 문자열이 있는데, 4개를 이어서 base64 디코딩을 하면

you_are_a_white_hacker

가 된다.

그리고 깃발 그림이 있는 image12.jpg에서 zip파일을 분리해낼 수 있으며 안에 flag.txt가 있으나 암호가 걸려 있다.

그리고 image8.jpg는 실제론 docx 파일이며, 열었을 때 XOR KEY라는 값을 얻을 수 있다.

해당 hex 값을 ascii로 바꾸면

this_is_xor_key_value_

가 된다.

value하고 _로 끝나는 걸 봐서는 두개를 합쳐 this_is_xor_key_value_you_are_a_white_hacker 를 만들고 이거랑 xor 할 값을 넣어야 할 거 같은 느낌이 드는데,

XOR_Key 로 준 hex값과 스탬프를 모아서 만든 you_are_a_white_hacker의 hex 값 0x796F755F6172655F615F77686974655F6861636B6572을 서로 xor 해서 나온 결과 값 0xd071c2c3e1b16001930053702111c001e000f1e002d을 10진수로 변환한 값이 zip파일의 패스워드다.

그렇게 zip파일 암호를 풀어서 flag.txt을 얻을 수 있다.

일단 플래그를 3~4 등분을 내서 xor을 하고 파일 이곳 저곳에 숨겨 놓는건 예선에서 나왔던 문제랑 다를 게 없다.

그리고 찾아낸 값들은 다 ascii 범위의 값을 주고서는 정작 zip 파일의 패스워드를 구하는 건 ascii 범위를 벗어나는 값.. 최소한 zip 패스워드처럼 생기도록 만들었어야 하는거 아닌가

0xd071c2c3e1b16001930053702111c001e000f1e002d -> ÐqÂÃá±`
“Sp!À
àñàd

아니 10진수로 입력해야하는 것에도 아무런 근거가 없다. 정작 XOR_Key 값은 정확하게 Hex 형태로 줬다. 스탬프에는 base64로 주고서는, ascii도 hex도 base64도 아니고 10진수?

다음은 포렌식 문제

문제 설명이 아마 두 명이 서로 비밀 메세지를 교환했다는 거였던걸로 기억하는데

문제 설명만 보고 이번 본선에서도 예선처럼 더러운 패킷 문제를 냈구나라고 생각했었다.

근데 이번엔 rar 파일과 pdf 파일이 주어졌다. (근데 또 문제설명은 문제와 아무런 연관이 없다.)

rar 파일에는 암호가 걸려있다. 그 암호를 se.pdf에서 찾아야 하는 것으로 보여진다.

/JS 에 하나

JS object에서 링크 하나를 얻을 수 있고

Annotation object도 있는데

맨 앞 값 순서대로 문자열을 배치하면 w24<P%96o~?R}_S`T 가 되고, 이를 ROT47을 돌리면 Hack!The@On#N0$1%가 된다.

왜 Annotation에 저런 값이 있는가? -> 그냥 숨겨놓은 위치

왜 ROT47인가? -> 앞에 ROT라고 키워드를 줬으니까..? "그냥"

그리고 압축을 푼 파일에 또 확장자 없는 파일이 하나 있는데 오디오 파일이다.

해당 파일의 오디오 스펙트럼에서 hex 값을 확인할 수 있다.

해당 hex값과 처음 JS object에서 얻은 링크에 있는 이미지 속의 25와 xor을 하면 플래그가 나온다.

아, 10진수 25가 아니라 16진수 0x25다. 왜? -> "그냥"

이게 포렌식인가..

롸업 보고 다시 푼 문제 풀이 포함

Intro : Knock Knock

Author: Braguette#0169

We have to monitor our network every day to make sure our admins don't help players get out of the game.
We are sending you a suspicious capture. Do your job !

check Host IP : 192.168.157.185

convert pcapng to pcap using editcap

Use NetworkMiner

Private IP network

target IP : 192.168.157.195

something suspicious

Easy : Free flag

Author: Braguette#0169

A few hours after installing the malicious package. We could notice that the traffic became weird again. Thanks to you, we know that our admin would have been compromised, we fear exfiltration! Do your job !

pcap파일이 주어진다.

conversations를 보면, 192.168.157.195:5355 에서 10.100.210.88:7435로 대량의 패킷이 전송되었음을 확인할 수 있다.

해당 패킷들을 보면 TCP Flags 값들이 계속 변화하는 것을 알 수 있다.

문제 이름이 Free Flag 인 것도 TCP flag를 보라는 힌트인 것 같다.

해당 FLAG들을 추출하기 위해서 tshark를 사용한다.

tshark -r ez.pcap -Y 'ip.src==192.168.157.195 && tcp.srcport==5355 && ip.dst==10.100.210.88 && tcp.dstport==7435' -T fields -e tcp.flags | cut -c 5-| xxd -r -p > a.7z

앞에 두 바이트만 지워주면 7z파일이 된다.

Medium : Silver

Author: Mr.NOODLE#9112

Hey,

I received a flash drive in my mailbox. It appears that the person who sent me the package was aware that I was using Linux. However, the flash drive self-destructed before I was able to make an image of it. To get the flag, you have to go to the showcase site of the c2 in question.

This is real malware, so be careful when running it, use a vm for malware analysis

Checksum Sha256 of usb_drive.img : 8947e34165792040d86915aea29df01f5e65f49ccfd624032522720ffb87c379

.firefox.elf가 악성파일로 의심된다. (추출해내면 Windows Defender가 탐지해낸다.)

해당 악성 파일을 IDA로 까보면 복잡하게 생겼다. 해당 파일을 리버싱하라고 준 건 아닐거고 C2 서버만 알아내면 되기 때문에, 가상 머신에서 해당 악성프로그램을 실행해서 패킷만 따내면 된다.

하지만 더 편한 바이러스토탈을 사용했다.

해당 ip로 접속하면 플래그가 나온다.

Medium : Compromised

-> hardcore

Author: rayanlecat#2609

Description :
An attacker has successfully compromised your company and more specifically your Active Directory! Your role is to find all the persistence techniques that the attacker has used in order to apply countermeasures.

Format :
The flag should be submitted in the following form: PWNME{persistence1user1-persistence2user2-persistence3user3-persistence4user4}
Where persistence is the name of the technique in lower case and user is the samAccountName of the user impacted in lower case.
The persistence techniques need to be put in chronological order of usage in the Active Directory.

Exemple :
PWNME{scheduletaskjessie_vaughan-createaccountmagdalena_gonzales-goldenticketjordan_gates-adminsdholderjaclyn_huber}

Important :
If you think that you found the right methods of persistence and you have an issue, please open a ticket on Discord so an administrator can validate your entry.

File :
https://drive.google.com/file/d/1tVBP05eKJbR6kswl6k-DeVRQ3x_e4CFk/view?usp=sharing

Hard : TimmyIsDump

-> medium

Author: Braguette#0169

Our administrator Timmy is a bit of an idiot, but that's why we love him. However, he downloaded a script that did something weird to our Detention user database. Since we know he's not the brightest, we make sure to do regular memory dump. I know you are the best. Get the file

File : https://drive.proton.me/urls/V7EC0VYPKC#XMtRuMT5uYy9

lime 확장자의 메모리 덤프가 주어진다.

lime이 사용된 것으로보아, 리눅스 환경으로 추측된다.

fedora 22.x64 버전이며, 커널 버전은 4.2.6-200이다.

환경 구축을 위해서 fedora 22 x64버전의 iso를 다운받아 가상머신에 설치한다.

https://dl.fedoraproject.org/pub/archive/fedora/linux/releases/22/Workstation/x86_64/iso/

 sudo dnf install kernel-4.2.6-200.fc22.x86_64.rpm \
    kernel-core-4.2.6-200.fc22.x86_64.rpm \
    kernel-devel-4.2.6-200.fc22.x86_64.rpm \
    kernel-headers-4.2.6-200.fc22.x86_64.rpm \
    kernel-modules-4.2.6-200.fc22.x86_64.rpm \
    kernel-modules-extra-4.2.6-200.fc22.x86_64.rpm \
    kernel-tools-4.2.6-200.fc22.x86_64.rpm \
    kernel-tools-libs-4.2.6-200.fc22.x86_64.rpm \
    kernel-tools-libs-devel-4.2.6-200.fc22.x86_64.rpm

이후는 볼라티리티 프로필을 생성해서 볼라티리티로 분석

(H) video_in_video

jpg 푸터 뒤에 mov 파일이 있다.

mdat 영역 크기가 파일 중간 부분까지만 차지하는데

해당 영역 데이터를 지워줌으로써 뒷 데이터 부분이 실제 mdat영역으로 올라오는데,

이러면 재생은 안되지만

윈도우가 자동으로 썸네일 만들어주면서 해당 영역의 영상을 썸네일로 만들어버린다.

해당 썸네일에서 플래그를 확인할 수 있다.

(B) Summer Fan

주어진 apk 파일을 jadx로 연다.

쓱 풀면 된다.