4ensiX

4ensiX

Forensics専門でなければ、CTFはDFIRの勉強にほとんど役立たないことをを知ったこの頃

RITSEC CTF 2019 Forensic writeup(そのうち更新?)

11/16 (土) 2:00(JTC) - 11/18 (月) 14:00 に開催されたRITSEC CTF 2019のForensicのwriteupを解いたやつも解けてないやつも自分で理解できた分は解いた風にやる。

ctftime.org

Take it to the Cleaners 100pt 409 Solves

Author: Impos73r Description: People hide things in images all the time! See if you can find what the artist forgot to take out in this one!

f:id:Zarat:20191120172318p:plain

まず上のような画像をDLする。とりあえず色々見ているとexifに何か見つけた。

f:id:Zarat:20191120174628p:plain

このUser Comment をbase64でデコードして、rot13すると,

$ echo "RVZHRlJQe1NCRVJBRlZQRl9TTlZZRl9KQkFHX1VSWUNfTEJIX1VSRVJ9" | base64 -d | nkf -r

 

RITSEC{FORENSICS_FAILS_WONT_HELP_YOU_HERE}

これがflag.

 

That data? No it's long gone. It's basically history

完全な理解に至らなかったので、writeupリンクのみ

 

ctftime.org

 

These are my favorite places to visit

完全な理解に至らなかったので、writeupリンクのみ

 

ctftime.org

 

findme 320pt 169 Solves

Find me! Challenge created by Security Risk Advisors for RITSEC CTF

まず「findme.pcap」というパケットキャプチャファイルを見ていく。

大部分が「HTTP」の通信であり、二つのIPアドレスの通信が見られる。TCPストリームを追っていくと、2種類の怪しいbase64のような文字列がある。

f:id:Zarat:20191120184344p:plain

それぞれbase64デコードしてみる。

aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g/dj1kUXc0dzlXZ1hjUQo=

              ↓ decode

https://www.youtube.com/watch?v=dQw4w9WgXcQ

この動画には特に何も無かった。 

 

H4sIAFSZx10AA+3OMQuCQBiH8Zv9FPcFgrvUcw2kIWgydzG1EkQPvZui757S0lSTRPD8lmd43+F/6cqrWJmaGRMt1Ums3vtitkKHsdGJDqNtKJSeGwup1h628JMrRymFP/ve+Q9/X+5/Kjvkp316t1Vpp0KNReuKuq17V9x21jb9IwjSPDtuKukGWXXD1AS/XgwAAAAAAAAAAAAAAAAAWDwB38XEewAoAAA=

              ↓ decode

gzip compressed data, last modified: Sun Nov 10 05:00:04 2019, from Unix, original size modulo 2^32 10240

              ↓    Extract

POSIX tar archive (GNU)

                                                  ↓   Extract

flag: ASCII text

                                                 ↓

RITSEC{pcaps_0r_it_didnt_h@ppen}

flag出ました。

 

URGGGGG 480pt 58 Solves

One of our operatives sent us this packet capture but we aren't quite sure what to make of it, what can you find?

 「USGGGGG.pcap」というUSBキーボードのパケットキャプチャが与えられる。USBのキャプチャデータはどこを見ればいいのか分からなかったが、少し調べると「Leftover Capture Data」という部分を見るといいらしい。

picoCTF -LEVEL2 Just Keyp Trying- - ぴよぴーよのチラ裏

サークル合宿で主催したCTFの解説|nekomaru|note

NCC Onsen-CTF 2018 Write-up - Qiita

USBキャプチャファイルについて参考サイト

Wireshark · Display Filter Reference: USB

CTF Series : Forensics — tech.bitvijays.com

USBのUSキーボードと16進数の関連

http://www.mindrunway.ru/IgorPlHex/USBKeyScan.pdf

キャプチャファイルからキーボード操作の抽出プログラムの参考

kaizen-ctf 2018 — Reverse Engineer usb keystrok from pcap file

USB - CTF Wiki

GitHub - WangYihang/UsbKeyboardDataHacker: USB键盘流量包取证工具 , 用于恢复用户的击键信息

picoctf-2017-write-up/Just Keyp Trying.md at master · vabhishek-me/picoctf-2017-write-up · GitHub

 

これらを参考にして抽出プログラムをキャプチャファイルかキャプチャファイルから取り出した「Leftover Capture Data」をプログラムにかける。「RITSEC{」から始まり意味のありそうな文字列部分を取り出すと以下のようになった。(実際には一文字一文字が何度も繰り返されているので、少しguessing要素がある?)

 

RITSEC{wH0_s@d_ntw0rk1nG_wAs_tH3_oNlY_pAck3t_TyP3}

 

これを一度flagに通してみたが、お察しの通り違った。少し文としておかしなものになってしまっているので、まだ何か見逃しているようだ。実は、上のflagについて、

RITSEC{wH0_s@ d_n tw0rk1nG_wAs_tH3_oNlY_pAck3t_TyP3}

           ↑    ↑

この部分に色々な入力がされており、Left、Rigtht、[Ctrl]やx、c、vなどの様々な入力が見られた。ここでじっくり考えてみる。もしかすると、Ctrlやx、c、vを見るからに何か↑の部分で、コピペ?が行われているように思える。だが、何がコピペされているかはよく分からなかった。ここからはguessingかぁと思いながら、google翻訳にかけてみると、

f:id:Zarat:20191121180532p:plain

who said networking was the only packet type ?

これか!?

少しいじってみたらいけました。

RITSEC{wH0_s@id_n3tw0rk1nG_wAs_tH3_oNlY_pAck3t_TyP3}

 

他の方のwriteup

ctftime.org


Lion
500pt 10 Solves (no writeup)

when the lion rars, it's time to GO

 ファイル入手できず。writeup見つからず。

 

 

Long GoneとVacationの分かりやすいwriteup

soji256.hatenablog.jp

 

soji256さんにはForensicを学んでいく上でいつも感謝しっぱなしです。