Writeup Hology Forensic oleh Tim Panitia,
jangan lupa kemenyan sedikit supaya lebih sakti
Puzzle (152pts) — 27 Solves
Soal berupa network capture PCAP (Puzzle.pcapng) yang berisi trafik FTP
fokus dengan apa yang dikirim melalui FTP dengan menggunakan filter
“ftp-data”
pada STOR x00 (pertama) ternyata merupakan potongan PNG
brati dapat di asumsikan mereka semua adalah potongan sebuah gambar
lanjut export semua secara berurutan
lalu gabungkan
$ cat *.bin > apaanih.png
QR masih belum bisa discan karena ter invert, jadi tinggal invert dan decode
$ convert apaanih.png -channel RGB -negate qr.png
$ zbarimg qr.png
QR-Code:
https://drive.google.com/file/d/1TLw77M52ctjKN5X0DXiHKD9b5fdHUJzh/view?usp=sharing
scanned 1 barcode symbols from 1 images in 0.19 seconds
dapat link drive dan video
anjay… pikachu sekaligus sama flagnya
Flag : hology3{f1lE_Tr4SfEr_b0SSquE}
Meong(425pts) — 12 Sovles
kali ini soalnya beruba Zip berpassword yang juga didalamnya terdapat VCS folder yaitu .git
jalan-jalan cari password di VCS nya, ternyata nemu 1 base32 dan 1 lagi base64 di 2 commit
commit: 3ff4a087f0f8ccceb0e059d9b471e26fe956a286
JVUWC52NNFQXO=== (MiawMiaw)commit: 06330f7943a541955f1d1a7da3e08ea10081c5ec aHR0cHM6Ly9tZWdhLm56L2ZpbGUvSEpoVUJhd0MjelJiVU5vMzRET1dwNVlkX3I5LWhoNTJGdUdweWMtQmdOR0xnYnJsWnE3VQ== (https://mega.nz/file/HJhUBawC#zRbUNo34DOWp5Yd_r9-hh52FuGpyc-BgNGLgbrlZq7U)
yang atas merupakan password langsung dari .zip nya dan yang bawah adalah Wordlist incase kalian mau bruteforce ZIP nya :)))
di extract dan dibuka, isinya base64 lagi
aHR0cHM6Ly90d2l0dGVyLmNvbS9Eb2VGdWxhbg== (https://twitter.com/DoeFulan)
pada tweet yang ini, di gambar galaxy nya, terdapat tulisan kecil bagian atas kiri
yang merupakan ASCII85 (tau darimana?? makanya nyalahin menyan!!)
/N,4?0JtXD2)Hj,0ebR>2)R6I3&`h
dapat kordinat stasiun Kota Cirebon
satu lagi di yucub dia
dapat kordinat gedung sate…
flagnya adalah hology3{kota1_kota2}
jadi….
Flag : hology3{cirebon_bandung}
Red Velvet (479pts) — 7 Solves
selanjutnya Red Velvet, yang merupakan soal Memory Dump
kita bisa pake volatility untuk melakukan forensic
Pertama kita cari dulu dia image dari OS apa
$ volatility -f Redvelvet imageinfoVolatility Foundation Volatility Framework 2.5
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP0x86, Win7SP1x86 (Instantiated with WinXPSP2x86)
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : WindowsCrashDumpSpace32 (Unnamed AS)
AS Layer3 : FileAddressSpace (/mnt/c/Users/iamnubs/Documents/CTF/Hology/Fore/redvelvet/Redvelvet)
PAE type : PAE
DTB : 0x3bce75a0L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2020-10-03 04:40:26 UTC+0000
Image local date and time : 2020-10-03 11:40:26 +0700
selanjutnya dengan profile yang tersedia kita bisa jalan-jalan
melihat cmd apa saja yang telah terjadi
$ volatility -f Redvelvet --profile=Win7SP0x86 cmdscan
Volatility Foundation Volatility Framework 2.5
**************************************************
CommandProcess: conhost.exe Pid: 3360
CommandHistory: 0x50abb8 Application: cmd.exe Flags: Allocated, Reset
CommandCount: 1 LastAdded: 0 LastDisplayed: 0
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0xc
Cmd #0 @ 0x50fcb0: bm90IHRoaXMgdG9vIG15IGJyb3RoYXItLQ==
atau melihat clipboard
$ volatility -f Redvelvet --profile=Win7SP0x86 clipboard
Volatility Foundation Volatility Framework 2.5
Session WindowStation Format Handle Object Data
---------- ------------- ------------------ ---------- ---------- --------------------------------------------------
1 WinSta0 CF_UNICODETEXT 0x60225 0xfdf11998 NBXWY33HPEZXWRDVNVYF6MKTL5CTIU3ZL5ZDCZ2IOR6Q====
1 WinSta0 CF_LOCALE 0xd01f1 0xfe905490
1 WinSta0 CF_TEXT 0x1 ----------
1 WinSta0 CF_OEMTEXT 0x1 ----------Volatility Foundation Volatility Framework 2.5
Session WindowStation Format Handle Object Data
---------- ------------- ------------------ ---------- ---------- --------------------------------------------------
1 WinSta0 CF_UNICODETEXT 0x60225 0xfdf11998 NBXWY33HPEZXWRDVNVYF6MKTL5CTIU3ZL5ZDCZ2IOR6Q====
1 WinSta0 CF_LOCALE 0xd01f1 0xfe905490
1 WinSta0 CF_TEXT 0x1 ----------
1 WinSta0 CF_OEMTEXT 0x1 ----------
ternyata di cmd kita dapat base64
bm90IHRoaXMgdG9vIG15IGJyb3RoYXItLQ== (not this too my brothar--)
dan di clipboard kita dapat base32
NBXWY33HPEZXWRDVNVYF6MKTL5CTIU3ZL5ZDCZ2IOR6Q==== (hology3{Dump_1S_E4Sy_r1gHt})
yang merupakan flagnya
Flag :hology3{Dump_1S_E4Sy_r1gHt}
Basic Steg (500pts) — 2 Sovles [FIRSTBLOOD]
disinilah kekuatan menyan kita di uji
diberikan gambar ini oleh “Panitia” beneran,
yang ketika di check ternyata error
$ pngcheck maybe_its_a_clue.png
maybe_its_a_clue.png additional data after IEND chunk
ERROR: maybe_its_a_clue.png
terlihat bahwa dibelakan IEND chuk terdapat tambahan data yang membuat file tersebut error
setelah diselidiki
ternyata benar, mulai dari IEND sampai akhir file terdapat tambahan byte byte lain.
dibagian akhir file terlihat sebuah kata-kata
xcod.ggggggalf aphla 90.0 piZmotA
yang jika dibaca dari belakang merupakan
AtomZip 0.09 alhpa flagggggg.docx
dengan demikian, saya memotong file menjadi 2 memisahkan file PNG dengan file yang berada di belakang IEND chunk, tapi dengan membacanya dari belakang,
kita dapat melakukannya dengan mudah menggunakan python
dan setelah dianalisa lebih lanjut, ternyata file ini adalah file dari NanoZip, sebuah apps untuk compressi yang udah jadul banget.
langsung test extract
> nz.exe x output
NanoZip 0.09 alpha/Win64 (C) 2008-2011 Sami Runsas www.nanozip.net
Intel(R) Core(TM) i7-7700HQ CPU @ 2.80GHz|55257 MHz|#4+HT|8183/16342 MB
Archive: output.nz
Threads: 4
Compressor #0: nz_optimum1 [13 MB]
Decompressed 5 722 bytes in 0.00s, 1863 KB/s.
IO-in: 0.00s, 4693 KB/s. IO-out: 0.00s, 931 KB/s
TADAAA
ternyata isi kontentnya hanya pengecoh
kita lihat lebih lanjut di bagian dalam docx nya karena pada dasarnya file doc juga file compresi seperti zip atau rar, jadi buka nya tinggal ganti extensi jadi .zip atau .rar
tidak ada yang menarik didalamnya
selain di style.xml
not-the-flag? what-the-flag?
download dulu dan jadiin bin gaes.
setelah jadi zip, dan dibuka terdapat file pengecoh dan folder .katalist
bakarrrr kemenyan dulu, udah hampir mati bara nya…
lanjut…..
singkat cerita isi dari file file random diatas merupakan WORDLIST ntah untuk apa
dengan kekuatan Supranatural, dan mencoba-coba kombinasi tools Steganography, akhirnya didapati bahwa
Indonesia.jpg adalah sebuah cipher dari aplikasi Steghide, dan random*.txt merupakan wordlist untuk bruteforce steghide passwordnya :)))))))
jalankan Crackernya, pastikan sudah membawa bekal kesabaran yang cukup..
dan ketemu di random5.txt
FINALLY : Dapat Base58
AXCkoAyyzmUiiwfiSQd9nznUynzik3Lo6 (hology3{1ts_e4sy_r1ght?})
tau darimana itu Base58 ? ( MENYAN NYA TERANG BRO!! )
Flag : hology3{1ts_e4sy_r1ght?}
Akhir kata… terimakasih sudah membaca,
seperti biasa setelah CTF kepala kita …
sampai jumpa di tulisan selanjutnya