M4ndU의 만두만두한 블로그

Henpeck

github.com/TeamRocketIst/ctf-usb-keyboard-parser

Shoelaces

Veebee

just excute it

Buzz

rename .tar

Forensics

Art Gallery

Flag_sur_fond_de.jpg is a file that we need to decrypt.

hmm

Reverse

Rocca Pia

ex.py :

Crackme

Crypto

quipqiup.com/

Bootless RSA

small e

dec 2 hex 2 ascii

Decode

www.scopulus.co.uk/tools/hexconverter.htm

The more, the less

www.alpertron.com.ar/ECM.HTM

Stega

Read

magiceye.ecksdee.co.uk/

Pidieff

OSINT

Janus

archive.org/

Forensic

Clang

oBfsC4t10n

open it!

download it!

rename .xlsm to .xls

open and recover it!

go to this location

this is vbscript

hmm

web

BonechewerCon

just input {{config}}

crypto

Broken RSA

e is very big

https://github.com/pablocelayes/rsa-wiener-attack.git

RSAwienerHacker.py

layers.txt

bin2ascii

oct2ascii

hex2ascii

base64decode

base85decode

Chimera

Open chimera.bin.img using FTK Imager.

I found key.docx.

extract it and rename key.docx to key.zip

hmm __main__.py ?

zip password key...

but i couldn't find any zip file.

so, i opened chimera.bin.img with HxD.exe. Then i searched "flag".

flag.png in flag.zip

good

it is in pdf file stream, but i couldn't find any pdf file. so i just carved it.

it says the file is corrupted, but i can get 61% unziped flag.png

it is half of flag, but we can read flag :)

Glitch in the matrix

DQT : en.wikibooks.org/wiki/JPEG_-_Idea_and_Practice/The_header_part#The_Quantization_table_segment_DQT

The DQT area is intentionally covered with 0xFF.

To recover DQT area, I copied and pasted the DQT area of other normal jpg files downloaded from the google.

After many attempts, I could read a flag.

we_need_bits_lots_of_bits

Net Matroyshka

8.pcap

7.pcap

6.pcap

copy&paste rsync data and sum data

5.pcap

follow > udp stream

make 4.zip

no footer signature in 5.pcap.

i think i extracted 5.zip wrong because 5.zip said zip file is corrupted.

i couldn't extract 5.zip correctly..

Tapesplice

BZh91AY&SY is bz2 header signature

denouement.png

use zsteg

Résumé

just copy and paste

Charge Tracker

dex2jar sourceforge.net/projects/dex2jar/

open .jar using jd-gui java-decompiler.github.io/

part1 is here.

done.

Hashcrack 101

www.tunnelsup.com/hash-analyzer/

1~4 : DES (Unix)

5~9 : md5crypt, MD5 (Unix)

10~13 : sha512crypt $6$, SHA512 (Unix)

use hashcat

hashcat.net/wiki/doku.php?id=example_hashes

combination bruteforce attack

dictonary attack

(NTUSER.DAT는 삭제하면 안된다. 삭제할 이유가 없다.)


최근 CTF에서 NTUSER.DAT을 사용해서 문제를 몇 번 풀었는데, NTUSER.DAT을 통해 얻을 수 있는 유의미한 정보들이 뭐가 있는지 정리해 보았다. 아래 내용이 정확하진 않으니 참고만 해주세요..

NTUSER.DAT

윈도우 사용자 계정 프로필 정보가 포함된 레지스트리 파일

/Users/ 밑의 각 유저 폴더안에 존재

분석

이미지 파일에서 Autopsy로 분석하거나

NTUSER.DAT파일만 가지고 access data의 registry viewer나 REGA 등으로 분석이 가능하다.

또는 regriper 로 간단하게 볼 수도 있다.

forensic.korea.ac.kr/DFWIKI/index.php/RegRipper

github.com/keydet89/RegRipper3.0

regripper을 사용하면 txt 파일 형태로 정리된 내용을 볼 수 있다.

생성된 txt 파일에는 여러 정보가 담겨 있다.

그 중에서 유의미한, 쓸만한 정보들만 추려보았다.

국가/지역

최근 문서

최근 문서 목록에 남아 있는 기준이 기간인지, 개수인지는 정확하게 알아보지 않았으나, 본인 PC의 ntuser.dat을 확인해 본 결과, RecentDocs에 약 150개정도가 기록되어 있었다. 개수보다는 기간을 기준으로 오래된 내역은 삭제되는 듯 싶다.

RecentDocs\.txt 에서는 \.txt처럼 \.hwp \.pdf \.png 등 거의 모든 확장자별로 기록되어 있다.

기록된 내용은 앞에 붙은 번호 상관없이 최상단에 있는 내용이 가장 최근 내역이다.

자동 실행 응용프로그램

탐색기 경로창에 입력한 내역

인터넷 익스플로러 url창에 입력한 내역

ie 방문기록을 확인할 수 없는 경우에는 이 부분을 확인해 보자.

typedurlstime에는 각 기록별 시각도 나온다.

설치된 응용프로그램 삭제 내역

삭제한 시각도 같이 나온다.

윈도우 검색 기능을 이용하여 검색한 내역

비트에 몸을 맡겨라!

브포 때려서 말이 되는거 찾아서 넣으면 된다.

blank

whitespace -> directory indexing -> whitespace

vii5ard.github.io/whitespace/

TRUST's math class

Listen PIZ!!

pptx 파일을 zip으로 바꾸고

slide23.xml을 보면

base64 문자열이 있다.

ultimate hacking defense

vmdk 파일이 주어진다.

ftk imager로 열자

필요한 파일들은 뭘까 문제 지문을 잘 읽어보자.

해커가 가장 마지막으로 접속했던 웹사이트에서 해킹툴을 다운받았고, 터미널에서 TRUST 서버를 공격하기 위해 여러 명령어들을 썼다는 정보를 입수했다

마지막으로 접속한 웹사이트, 터미널

인터넷 접속 기록과 터미널 입력 기록을 살펴보면 되겠다.

크롬, 파폭, 웨일등의 브라우저가 설치되지 않았다.

바로 ie를 보면 되겠다.

ie 히스토리 (C:\Users\user\AppData\Local\Microsoft\Internet Explorer\Recovery\Last Active\{7A1FA2C8-7768-11EB-94AC-001A7DDA7113}.dat)를 직접 봐도 되겠지만

ie에 마지막으로 입력한 url 기록은 NTUSER.DAT에서도 찾아볼 수 있다.

해당 파일을 추출하여 regripper을 돌려준다.

forensic.korea.ac.kr/DFWIKI/index.php/RegRipper

해당 페이지에 들어가면 플래그 뒷부분을 얻을 수 있다.

이어서, 최근 문서에서 consolehost_history.txt를 볼 수 있다.

파워쉘을 사용했다는 것을 알 수 있다.

해당 파일을 찾아 추출하자

C:\Users\Devleo\AppData\Roaming\Microsoft\Windows\Powershell\PSReadLine\ConsoleHost_history.txt

플래그 앞부분 TRUST{ 를 검색하면 된다.

Tenable

The ultimate mutant marvel team-up

install nessus essentials

import it

export it

open with xml

Forensics

H4ck3R_m4n exp0sed! 1

extract butter.jpg

H4ck3R_m4n exp0sed! 2

extract it

H4ck3R_m4n exp0sed! 3

use dataz

hex -> ascii -> base64 -> hex -> jpg file

Cat Taps

usb keyboard packet capture file

github.com/TeamRocketIst/ctf-usb-keyboard-parser

hmm

abawazeeer.medium.com/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4

Fix Me

There are dummy bytes between chunks.

Check position of dummy bytes using tweakPNG.exe

and then remove dummy bytes using HxD.

repeat.

Stego

Easy Stego

stegsolve.jar

stegsolve.jar

Hackerman

Numerological

3637 3639 3734 3265 3639 3666 3266 3461 3734 3461 3631 3538

Weird Transmission

ourcodeworld.com/articles/read/956/how-to-convert-decode-a-slow-scan-television-transmissions-sstv-audio-file-to-images-using-qsstv-in-ubuntu-18-04

Reverse Engineering

The only tool you'll ever need

Pwntown 1

i just ran the corrdior in normal then flag was out. hmm

Crypto

Easy Peasy

base64 -> hex2ascii -> caesar cipher

Web App

Stay Away Creepy Crawlers

at ./robots.txt

Can't find it

flag is at a 404 not found page.

Source of All Evil

Show me what you got

directory indexing

flag is at ./images/alidi3sd.txt

Certificate of Authenticity

go to https://

get a certificate

Ripper Doc

./certified_rippers.php

edit cookie false to true

Headers for you inspiration

Spring MVC 1

Spring MVC 2

Spring MVC 3

Spring MVC 4

Spring MVC 5

Spring MVC 6

Spring MVC 7 (Hiding in Plain Sight)

./?name=please

Spring MVC 8 (Sessionable)

./other?name=admin

and go ./

Follow The Rabbit Hole

output -> hex -> png file

Misc

Esoteric

--[----->+<]>.++++++.-----------.++++++.[----->+<]>.----.---.+++[->+++<]>+.-------.++++++++++.++++++++++.++[->+++<]>.+++.[--->+<]>----.+++[->+++<]>++.++++++++.+++++.--------.-[--->+<]>--.+[->+++<]>+.++++++++.>--[-->+++<]>.

brainfuck

www.dcode.fr/brainfuck-language

Quit messing with my flags

Find the encoding

base58

One Byte at a Time

we know flag starts with "flag{"

then we can get xor key "0x77", "0x10", "0x02"

brute force it!

Not JSON

base64 to hex

abcdefghjiklmnopqrstuvwxyz_{} is table

index : dummy 1byte : data

05 0B 00 06 1B 12 0E 0d 1A 0E 05 1A 00 1A 01 12 0E 0D 1C

to dec

and +1

Forwards from Grandma

we can find { and } in title

morse code!

FWD: -> .

RE: -> -

# -> _

Broken QR

fix using Microsoft Paint

Web

Meet the Union Committee

./?id=1 or 1=1

./?id=;

./id=1 union select 1,2,3

./?id=1 union select 1,password,3 from users

GEOINT

Where in the World? (2)

i could see tram and high tower/building.

i searched tram in bing image search and i found a simillar one.

The content was completely different from the tram, but it was written in Polish.

Then I searched poland tram and i found a simillar one agian.

So, i was sure that the image was from poland.

I searched for Polish landmarks to find what the tall buildings in the picture were, and I could find something similar.

bingo!

Where in the World? (3)

bing image search

i found simillar image and "San Francisco Armory"

same

mission street, San Francisco, USA

Where in the World? (5)

google image search

Forensics/Figuring Out The Past

 need decryption key to download file via this mega link

it needs password

firefox

nothing :(

nothing in lastpass

hmm

왜 내가 하면 iehistory에서 안나오지..

defuse.ca를 찾아볼걸 그랬네

Forensics/Scattered Pieces

a pcapng file

mega link decryption key

in sus.pcapng, mega.nz 접속 흔적

ssl key log

log file IN

decrypt

reveal link

download it

open with hex editor and fix signature

dictionary attack (rockyou.txt)

Forensics/Do you know them ?

extract NTUSER.DAT

use regripper

Forensics/Mr.Wolf Darkest Secret

hmm

forensic

Misplaced

hmm what is it?

I changed file extension. (file.what to file.zip)

oh i got something but i don't know the password.

when i opened it using 7 zip file manager, i could get a password!

i thought it is ppt file.

then i found a flag.

Nice Duck!

mp4 file

Splitted flag

split file

fix file

done.

web

Flag Script