[Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

BkavCR

VIP Members
27/09/2013
104
203 bài viết
[Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014
Link tải đề:
For 300
http://grandprix.whitehat.vn:8020/233E8E650C6A23960AF7D7132C20E852/for300.zip

Link dự phòng: https://www.dropbox.com/s/yz31cc4ptw5s1a3/for300.zip

Gợi ý 1: zip.001 ... zip.033
Gợi ý 2: truecrypt

Steg 200
http://grandprix.whitehat.vn:8020/10BDD538215B07451481B57C8D019646/stegano200.zip

Link dự phòng 1: https://www.dropbox.com/s/lx3nvds1amzid1o/stegano200.zip
Link dự phòng 2: https://drive.google.com/file/d/0BwMZ7hWIVHyhQ3lsX0Vsbm9zdFU/edit?usp=sharing
Link dự phòng 3: http://whitehat.vn/10BDD538215B07451481B57C8D019646/stegano200.zip
Gợi ý: LSB

Mời các bạn viết Writeup và cùng thảo luận về Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014.

_____________________________________________________
BQT cập nhật Writeup của team Felix để các bạn cùng tham khảo:

For300 - None

Đề bài là 1 file pcap, mở ra sẽ thấy đây là 1 file capture truyền tải dữ liệu qua giao tiếp USB, dữ liệu đang được copy từ máy host vào port 4.2.
Lọc bớt những dữ liệu không cần quan tâm:

1490893079a.png


USB Storage là một dạng block device, dữ liệu được truyền tải theo từng block, có thể thấy trong hình trên trước mỗi gói dữ liệu là một gói command write, kèm theo address và length theo Logical Block Address (LBA), kích thước mỗi mỗi block là 512 bytes.
Ở những gói có len = 8 block là dữ liệu lưu vào record của file system NTFS, tam thời không hữu ích lắm.
Trong số những gói này có một gói đặc biệt (gói số 660) là chứa thông tin INDEX được ghi vào những block đầu của file system. Sau khi dùng http://www.williballenthin.com/forensics/indx/ để parse ra thông tin files, chúng ta biết được file size chính xác của các file zip, chứ không phải filesize theo từng block, nếu bạn nào không tìm (hoặc đoán) được file size thì khi ráp lại rồi giải nén sẽ bị lỗi CRC ngay do dư rất nhiều \x00 bytes ở cuối mỗi file zip hoặc strip dư \x00 ở file 033.

FILENAME, PHYSICAL SIZE, LOGICAL SIZE, MODIFIED TIME, ACCESSED TIME, CHANGED TIME, CREATED TIMEImage.zip.001, 65536, 64512, 2014-09-04 07:39:53.923971, 2014-09-04 07:40:28.389790, 2014-09-04 07:39:53.923971, 2014-09-04 07:40:28.389790
Image.zip.002, 65536, 64512, 2014-09-04 07:39:53.927973, 2014-09-04 07:40:28.401800, 2014-09-04 07:39:53.927973, 2014-09-04 07:40:28.401800
Image.zip.003, 65536, 64512, 2014-09-04 07:39:53.930973, 2014-09-04 07:40:28.418810, 2014-09-04 07:39:53.930973, 2014-09-04 07:40:28.418810
Image.zip.004, 65536, 64512, 2014-09-04 07:39:53.933975, 2014-09-04 07:40:28.431824, 2014-09-04 07:39:53.933975, 2014-09-04 07:40:28.431824
Image.zip.005, 65536, 64512, 2014-09-04 07:39:53.936977, 2014-09-04 07:40:28.450830, 2014-09-04 07:39:53.936977, 2014-09-04 07:40:28.450830
Image.zip.006, 65536, 64512, 2014-09-04 07:39:53.939980, 2014-09-04 07:40:28.465843, 2014-09-04 07:39:53.939980, 2014-09-04 07:40:28.465843
Image.zip.007, 65536, 64512, 2014-09-04 07:39:53.942980, 2014-09-04 07:40:28.479855, 2014-09-04 07:39:53.942980, 2014-09-04 07:40:28.479855
Image.zip.008, 65536, 64512, 2014-09-04 07:39:53.945984, 2014-09-04 07:40:28.496862, 2014-09-04 07:39:53.945984, 2014-09-04 07:40:28.496862
Image.zip.009, 65536, 64512, 2014-09-04 07:39:53.948986, 2014-09-04 07:40:28.518877, 2014-09-04 07:39:53.948986, 2014-09-04 07:40:28.518877
Image.zip.010, 65536, 64512, 2014-09-04 07:39:53.952988, 2014-09-04 07:40:28.532887, 2014-09-04 07:39:53.952988, 2014-09-04 07:40:28.532887
Image.zip.011, 65536, 64512, 2014-09-04 07:39:53.955990, 2014-09-04 07:40:28.551901, 2014-09-04 07:39:53.955990, 2014-09-04 07:40:28.551901
Image.zip.012, 65536, 64512, 2014-09-04 07:39:53.958992, 2014-09-04 07:40:28.564911, 2014-09-04 07:39:53.958992, 2014-09-04 07:40:28.564911
Image.zip.013, 65536, 64512, 2014-09-04 07:39:53.961994, 2014-09-04 07:40:28.582920, 2014-09-04 07:39:53.961994, 2014-09-04 07:40:28.582920
Image.zip.014, 65536, 64512, 2014-09-04 07:39:53.964996, 2014-09-04 07:40:28.599932, 2014-09-04 07:39:53.964996, 2014-09-04 07:40:28.599932
Image.zip.015, 65536, 64512, 2014-09-04 07:39:53.967997, 2014-09-04 07:40:28.613939, 2014-09-04 07:39:53.967997, 2014-09-04 07:40:28.613939
Image.zip.016, 65536, 64512, 2014-09-04 07:39:53.969999, 2014-09-04 07:40:28.630951, 2014-09-04 07:39:53.969999, 2014-09-04 07:40:28.630951
Image.zip.017, 65536, 64512, 2014-09-04 07:39:53.973000, 2014-09-04 07:40:28.644958, 2014-09-04 07:39:53.973000, 2014-09-04 07:40:28.644958
Image.zip.018, 65536, 64512, 2014-09-04 07:39:53.976002, 2014-09-04 07:40:28.662971, 2014-09-04 07:39:53.976002, 2014-09-04 07:40:28.662971
Image.zip.019, 65536, 64512, 2014-09-04 07:39:53.979004, 2014-09-04 07:40:28.680984, 2014-09-04 07:39:53.979004, 2014-09-04 07:40:28.680984
Image.zip.020, 65536, 64512, 2014-09-04 07:39:53.981007, 2014-09-04 07:40:28.693991, 2014-09-04 07:39:53.981007, 2014-09-04 07:40:28.693991
Image.zip.021, 65536, 64512, 2014-09-04 07:39:53.984009, 2014-09-04 07:40:28.711004, 2014-09-04 07:39:53.984009, 2014-09-04 07:40:28.711004
Image.zip.022, 65536, 64512, 2014-09-04 07:39:53.987013, 2014-09-04 07:40:28.724012, 2014-09-04 07:39:53.987013, 2014-09-04 07:40:28.724012
Image.zip.023, 65536, 64512, 2014-09-04 07:39:53.990013, 2014-09-04 07:40:28.743025, 2014-09-04 07:39:53.990013, 2014-09-04 07:40:28.743025
Image.zip.024, 65536, 64512, 2014-09-04 07:39:53.993013, 2014-09-04 07:40:28.757034, 2014-09-04 07:39:53.993013, 2014-09-04 07:40:28.757034
Image.zip.025, 65536, 64512, 2014-09-04 07:39:53.995016, 2014-09-04 07:40:28.770044, 2014-09-04 07:39:53.995016, 2014-09-04 07:40:28.770044
Image.zip.026, 65536, 64512, 2014-09-04 07:39:53.998016, 2014-09-04 07:40:28.788055, 2014-09-04 07:39:53.998016, 2014-09-04 07:40:28.788055
Image.zip.027, 65536, 64512, 2014-09-04 07:39:54.001020, 2014-09-04 07:40:28.801064, 2014-09-04 07:39:54.001020, 2014-09-04 07:40:28.801064
Image.zip.028, 65536, 64512, 2014-09-04 07:39:54.004023, 2014-09-04 07:40:28.819077, 2014-09-04 07:39:54.004023, 2014-09-04 07:40:28.819077
Image.zip.029, 65536, 64512, 2014-09-04 07:39:54.007023, 2014-09-04 07:40:28.832088, 2014-09-04 07:39:54.007023, 2014-09-04 07:40:28.832088
Image.zip.030, 65536, 64512, 2014-09-04 07:39:54.010025, 2014-09-04 07:40:28.850100, 2014-09-04 07:39:54.010025, 2014-09-04 07:40:28.850100
Image.zip.031, 65536, 64512, 2014-09-04 07:39:54.013029, 2014-09-04 07:40:28.868109, 2014-09-04 07:39:54.013029, 2014-09-04 07:40:28.868109
Image.zip.032, 65536, 64512, 2014-09-04 07:39:54.017031, 2014-09-04 07:40:28.882120, 2014-09-04 07:39:54.017031, 2014-09-04 07:40:28.882120
Image.zip.033, 36864, 32912, 2014-09-04 07:39:54.020031, 2014-09-04 07:40:28.899134, 2014-09-04 07:39:54.020031, 2014-09-04 07:40:28.899134
System Volume Information, 0, 0, 2014-09-04 03:28:06.526880, 2014-09-04 03:28:06.517872, 2014-09-04 03:28:06.526880, 2014-09-04 03:28:06.517872

Bây giờ chỉ việc trích xuất từng file zip ra, có thể làm tay bằng cách chuột phải wireshark phần leftover capture data rồi chọn export selected bytes hoặc viết tool để parse, xong rồi nhớ cắt bỏ phần \x00 thừa ở cuối. Cách cá nhân mình làm là sử dụng chức năng export selected packet ra chuẩn xml bằng wireshark rồi dùng bash/python để parse ra.

Cuối cùng là giải nén file Image rồi bruteforce (chịu thua), pass là #secret#
Flag{8C6467EDF520AD802D782A2ABD11ECF582AF5777}

Steg200

Đề cho 1 file ảnh quote.png, thử 1 vòng với foremost thì thấy cuối file được gắn thêm file zip, extract ra thì thấy dòng
Do you know what you re looking for ?
:confused: Khá troll :v

Sau đó chuyển qua stegsolv, file ảnh to quá làm load cực chậm, xem 1 hồi cũng ko thấy gì
Cuối cùng từ hint của BTC lên search google với từ khóa: "LSB Stegano" thì thấy ngay tool này https://github.com/RobinDavid/LSB-Steganography
Chạy thử phát không ngờ lại có kết quả:
>>> steg.unhideText()
'++++++++++[>+++++++.[-]++++++++++[>++++++++++++++++++.[-]++++++++++[>++++++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>++++++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>+++++++.[-]++++++++++[>++++++++.[-]++++++++++[>+++++++++.[-]++++++++++[>+++++++++.[-]++++++++++[>++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>+++++++++++++++++.[-]'

Bỏ vào brainfuck interpreter:
Flag{C3AB2A89EC88EE412D80245665BE0102}
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

BTC cho mình hỏi cuối cùng pass truecrypt của Image là gì ợ, brute hết cái dictionary rockyou cũng chả ra -_-
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

knight9;15759 đã viết:
BTC cho mình hỏi cuối cùng pass truecrypt của Image là gì ợ, brute hết cái dictionary rockyou cũng chả ra -_-
Bác dùng tool j vậy,e dùng tool TCBrute với cái từ điển đó ko ra -_-
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

hoank;15770 đã viết:
Bác dùng tool j vậy,e dùng tool TCBrute với cái từ điển đó ko ra -_-
Mình dùng cả hashcat lẫn truecrack bạn ơi :mad:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

Các bạn có thể thử theo hướng này, tool và dict thì không hạn chế, tự code cũng được
Dictionary: https://dazzlepod.com/site_media/txt/passwords.txt
Tool: Truecrack

True pass: #secret#
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

Có lẽ BTC nên bỏ thời gian đọc cái này:

- Every challenge should be tested and solved by at least two other people beside the creator before it is added to the CTF

- Forensics challenges: If an answer is time based, provide a clear overview of time zones

- The goal of every challenge should be clear

- Challenges should be solvable within the CTF timeframe

- Challenges should be solvable without the use of commercial tools (also, commercial tools should not make the challenges much easier)

- Encrypted files or passwords should be crackable within an hour using rockyou or default cracker settings

- Challenge descriptions should be clear and detailed, hints should not be needed

- No extremely far-fetched challenges which only make sense to the creator

- Use a standard and clear flag format where possible

- Make sure more people understand the challenge beside the creator

- Monitor challenges for uptime and corruption

- Create test scripts for challenges to test the status of them

- No hidden challenges

- No 4 hour Google sessions

- No trivia

- Challenge flags should not be bruteforcable

- No changes to the challenges during the CTF (except fixes when really broken)

- After one solve there should not be any changes to a challenge at all
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

ping;15775 đã viết:
Các bạn có thể thử theo hướng này, tool và dict thì không hạn chế, tự code cũng được
Dictionary: https://dazzlepod.com/site_media/txt/passwords.txt
Tool: Truecrack

True pass: #secret#
Flag{8C6467EDF520AD802D782A2ABD11ECF582AF5777}
Hy vọng vòng chung kết BTC đừng ra thể loại bắt phải mò mò + đúng dict mới ra như vậy, trừ khi BTC muốn kết quả chung cuộc phụ thuộc vào may rủi.
Nếu có challenge phải bruteforce thì nên dùng 1 password mà bất kì dictionary nào cũng có thể brute ra.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

For300 - None

Đề bài là 1 file pcap, mở ra sẽ thấy đây là 1 file capture truyền tải dữ liệu qua giao tiếp USB, dữ liệu đang được copy từ máy host vào port 4.2.
Lọc bớt những dữ liệu không cần quan tâm:

1490893079a.png


USB Storage là một dạng block device, dữ liệu được truyền tải theo từng block, có thể thấy trong hình trên trước mỗi gói dữ liệu là một gói command write, kèm theo address và length theo Logical Block Address (LBA), kích thước mỗi mỗi block là 512 bytes.
Ở những gói có len = 8 block là dữ liệu lưu vào record của file system NTFS, tam thời không hữu ích lắm.
Trong số những gói này có một gói đặc biệt (gói số 660) là chứa thông tin INDEX được ghi vào những block đầu của file system. Sau khi dùng http://www.williballenthin.com/forensics/indx/ để parse ra thông tin files, chúng ta biết được file size chính xác của các file zip, chứ không phải filesize theo từng block, nếu bạn nào không tìm (hoặc đoán) được file size thì khi ráp lại rồi giải nén sẽ bị lỗi CRC ngay do dư rất nhiều x00 bytes ở cuối mỗi file zip hoặc strip dư x00 ở file 033.

FILENAME, PHYSICAL SIZE, LOGICAL SIZE, MODIFIED TIME, ACCESSED TIME, CHANGED TIME, CREATED TIMEImage.zip.001, 65536, 64512, 2014-09-04 07:39:53.923971, 2014-09-04 07:40:28.389790, 2014-09-04 07:39:53.923971, 2014-09-04 07:40:28.389790
Image.zip.002, 65536, 64512, 2014-09-04 07:39:53.927973, 2014-09-04 07:40:28.401800, 2014-09-04 07:39:53.927973, 2014-09-04 07:40:28.401800
Image.zip.003, 65536, 64512, 2014-09-04 07:39:53.930973, 2014-09-04 07:40:28.418810, 2014-09-04 07:39:53.930973, 2014-09-04 07:40:28.418810
Image.zip.004, 65536, 64512, 2014-09-04 07:39:53.933975, 2014-09-04 07:40:28.431824, 2014-09-04 07:39:53.933975, 2014-09-04 07:40:28.431824
Image.zip.005, 65536, 64512, 2014-09-04 07:39:53.936977, 2014-09-04 07:40:28.450830, 2014-09-04 07:39:53.936977, 2014-09-04 07:40:28.450830
Image.zip.006, 65536, 64512, 2014-09-04 07:39:53.939980, 2014-09-04 07:40:28.465843, 2014-09-04 07:39:53.939980, 2014-09-04 07:40:28.465843
Image.zip.007, 65536, 64512, 2014-09-04 07:39:53.942980, 2014-09-04 07:40:28.479855, 2014-09-04 07:39:53.942980, 2014-09-04 07:40:28.479855
Image.zip.008, 65536, 64512, 2014-09-04 07:39:53.945984, 2014-09-04 07:40:28.496862, 2014-09-04 07:39:53.945984, 2014-09-04 07:40:28.496862
Image.zip.009, 65536, 64512, 2014-09-04 07:39:53.948986, 2014-09-04 07:40:28.518877, 2014-09-04 07:39:53.948986, 2014-09-04 07:40:28.518877
Image.zip.010, 65536, 64512, 2014-09-04 07:39:53.952988, 2014-09-04 07:40:28.532887, 2014-09-04 07:39:53.952988, 2014-09-04 07:40:28.532887
Image.zip.011, 65536, 64512, 2014-09-04 07:39:53.955990, 2014-09-04 07:40:28.551901, 2014-09-04 07:39:53.955990, 2014-09-04 07:40:28.551901
Image.zip.012, 65536, 64512, 2014-09-04 07:39:53.958992, 2014-09-04 07:40:28.564911, 2014-09-04 07:39:53.958992, 2014-09-04 07:40:28.564911
Image.zip.013, 65536, 64512, 2014-09-04 07:39:53.961994, 2014-09-04 07:40:28.582920, 2014-09-04 07:39:53.961994, 2014-09-04 07:40:28.582920
Image.zip.014, 65536, 64512, 2014-09-04 07:39:53.964996, 2014-09-04 07:40:28.599932, 2014-09-04 07:39:53.964996, 2014-09-04 07:40:28.599932
Image.zip.015, 65536, 64512, 2014-09-04 07:39:53.967997, 2014-09-04 07:40:28.613939, 2014-09-04 07:39:53.967997, 2014-09-04 07:40:28.613939
Image.zip.016, 65536, 64512, 2014-09-04 07:39:53.969999, 2014-09-04 07:40:28.630951, 2014-09-04 07:39:53.969999, 2014-09-04 07:40:28.630951
Image.zip.017, 65536, 64512, 2014-09-04 07:39:53.973000, 2014-09-04 07:40:28.644958, 2014-09-04 07:39:53.973000, 2014-09-04 07:40:28.644958
Image.zip.018, 65536, 64512, 2014-09-04 07:39:53.976002, 2014-09-04 07:40:28.662971, 2014-09-04 07:39:53.976002, 2014-09-04 07:40:28.662971
Image.zip.019, 65536, 64512, 2014-09-04 07:39:53.979004, 2014-09-04 07:40:28.680984, 2014-09-04 07:39:53.979004, 2014-09-04 07:40:28.680984
Image.zip.020, 65536, 64512, 2014-09-04 07:39:53.981007, 2014-09-04 07:40:28.693991, 2014-09-04 07:39:53.981007, 2014-09-04 07:40:28.693991
Image.zip.021, 65536, 64512, 2014-09-04 07:39:53.984009, 2014-09-04 07:40:28.711004, 2014-09-04 07:39:53.984009, 2014-09-04 07:40:28.711004
Image.zip.022, 65536, 64512, 2014-09-04 07:39:53.987013, 2014-09-04 07:40:28.724012, 2014-09-04 07:39:53.987013, 2014-09-04 07:40:28.724012
Image.zip.023, 65536, 64512, 2014-09-04 07:39:53.990013, 2014-09-04 07:40:28.743025, 2014-09-04 07:39:53.990013, 2014-09-04 07:40:28.743025
Image.zip.024, 65536, 64512, 2014-09-04 07:39:53.993013, 2014-09-04 07:40:28.757034, 2014-09-04 07:39:53.993013, 2014-09-04 07:40:28.757034
Image.zip.025, 65536, 64512, 2014-09-04 07:39:53.995016, 2014-09-04 07:40:28.770044, 2014-09-04 07:39:53.995016, 2014-09-04 07:40:28.770044
Image.zip.026, 65536, 64512, 2014-09-04 07:39:53.998016, 2014-09-04 07:40:28.788055, 2014-09-04 07:39:53.998016, 2014-09-04 07:40:28.788055
Image.zip.027, 65536, 64512, 2014-09-04 07:39:54.001020, 2014-09-04 07:40:28.801064, 2014-09-04 07:39:54.001020, 2014-09-04 07:40:28.801064
Image.zip.028, 65536, 64512, 2014-09-04 07:39:54.004023, 2014-09-04 07:40:28.819077, 2014-09-04 07:39:54.004023, 2014-09-04 07:40:28.819077
Image.zip.029, 65536, 64512, 2014-09-04 07:39:54.007023, 2014-09-04 07:40:28.832088, 2014-09-04 07:39:54.007023, 2014-09-04 07:40:28.832088
Image.zip.030, 65536, 64512, 2014-09-04 07:39:54.010025, 2014-09-04 07:40:28.850100, 2014-09-04 07:39:54.010025, 2014-09-04 07:40:28.850100
Image.zip.031, 65536, 64512, 2014-09-04 07:39:54.013029, 2014-09-04 07:40:28.868109, 2014-09-04 07:39:54.013029, 2014-09-04 07:40:28.868109
Image.zip.032, 65536, 64512, 2014-09-04 07:39:54.017031, 2014-09-04 07:40:28.882120, 2014-09-04 07:39:54.017031, 2014-09-04 07:40:28.882120
Image.zip.033, 36864, 32912, 2014-09-04 07:39:54.020031, 2014-09-04 07:40:28.899134, 2014-09-04 07:39:54.020031, 2014-09-04 07:40:28.899134
System Volume Information, 0, 0, 2014-09-04 03:28:06.526880, 2014-09-04 03:28:06.517872, 2014-09-04 03:28:06.526880, 2014-09-04 03:28:06.517872

Bây giờ chỉ việc trích xuất từng file zip ra, có thể làm tay bằng cách chuột phải wireshark phần leftover capture data rồi chọn export selected bytes hoặc viết tool để parse, xong rồi nhớ cắt bỏ phần x00 thừa ở cuối. Cách cá nhân mình làm là sử dụng chức năng export selected packet ra chuẩn xml bằng wireshark rồi dùng bash/python để parse ra.

Cuối cùng là giải nén file Image rồi bruteforce (chịu thua), pass là #secret#
Flag{8C6467EDF520AD802D782A2ABD11ECF582AF5777}

Felixa.png
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

ctf sao cho giống thế thực là đúng rồi, bruteforce pass 8 ký tự a-z, 1 # là bth. các chú chia máy ra mà bruteforce, cái này chả nhẽ các chú ko biết thì vl lắm.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

ebfe;15787 đã viết:
ctf sao cho giống thế thực là đúng rồi, bruteforce pass 8 ký tự a-z, 1 # là bth. các chú chia máy ra mà bruteforce, cái này chả nhẽ các chú ko biết thì vl lắm.
Thế bác có làm được câu này không vậy?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

ebfe;15787 đã viết:
ctf sao cho giống thế thực là đúng rồi, bruteforce pass 8 ký tự a-z, 1 # là bth. các chú chia máy ra mà bruteforce, cái này chả nhẽ các chú ko biết thì vl lắm.

Bác phán như đúng rồi, lúc brute mà biết nhiêu đó thì nói làm gì nữa.
Chưa kể 27^8 là 300 tỉ password nhé bác. Dùng GTX680 brute cũng phải mất 100 triệu giây ~ 3 năm đó.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

luffy;15789 đã viết:
Thế bác có làm được câu này không vậy?
Bận CSAW nên không chơi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

ebfe;15805 đã viết:
Bận CSAW nên không chơi.

14908930809.png
14908930809.png
14908930809.png
9.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
[Writeup] Steg200

http://grandprix.whitehat.vn:8020/10...stegano200.zip

Link dự phòng 1: https://www.dropbox.com/s/lx3nvds1amzid1o/stegano200.zip
Link dự phòng 2: https://drive.google.com/file/d/0BwM...it?usp=sharing
Link dự phòng 3: http://whitehat.vn/10BDD538215...stegano200.zip
Gợi ý: LSB

=====================================================
Đề cho 1 file ảnh quote.png, thử 1 vòng với foremost thì thấy cuối file được gắn thêm file zip, extract ra thì thấy dòng
Do you know what you re looking for ?
:confused: Khá troll :v

Sau đó chuyển qua stegsolv, file ảnh to quá làm load cực chậm, xem 1 hồi cũng ko thấy gì
Cuối cùng từ hint của BTC lên search google với từ khóa: "LSB Stegano" thì thấy ngay tool này https://github.com/RobinDavid/LSB-Steganography
Chạy thử phát không ngờ lại có kết quả:
>>> steg.unhideText()
'++++++++++[>+++++++.[-]++++++++++[>++++++++++++++++++.[-]++++++++++[>++++++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>+++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>++++++++++++++.[-]++++++++++[>+++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>+++++++.[-]++++++++++[>++++++++.[-]++++++++++[>+++++++++.[-]++++++++++[>+++++++++.[-]++++++++++[>++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++++++++++.[-]++++++++++[>++++++++++++.[-]++++++++++[>+++++.[-]++++++++++[>+++++++++++++++++.[-]'

Bỏ vào brainfuck interpreter:
Flag{C3AB2A89EC88EE412D80245665BE0102}

Felix
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15776 đã viết:
Có lẽ BTC nên bỏ thời gian đọc cái này:

Cảm ơn góp ý của yeuchimse, BTC xin tiếp nhận ý kiến của bạn :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên