Open in app

Sign in

Write

Sign in

Forensic HologyCTF 2020

ghuniyu
6 min readNov 2, 2020

Writeup Hology Forensic oleh Tim Panitia,

jangan lupa kemenyan sedikit supaya lebih sakti

Puzzle (152pts) — 27 Solves

Soal berupa network capture PCAP (Puzzle.pcapng) yang berisi trafik FTP

fokus dengan apa yang dikirim melalui FTP dengan menggunakan filter
“ftp-data”

pada STOR x00 (pertama) ternyata merupakan potongan PNG

brati dapat di asumsikan mereka semua adalah potongan sebuah gambar

lanjut export semua secara berurutan

lalu gabungkan

$ cat *.bin > apaanih.png
WALAAA

QR masih belum bisa discan karena ter invert, jadi tinggal invert dan decode

$ convert apaanih.png -channel RGB -negate qr.png
$ zbarimg qr.png
QR-Code:
https://drive.google.com/file/d/1TLw77M52ctjKN5X0DXiHKD9b5fdHUJzh/view?usp=sharing
scanned 1 barcode symbols from 1 images in 0.19 seconds

dapat link drive dan video

anjay… pikachu sekaligus sama flagnya

Flag : hology3{f1lE_Tr4SfEr_b0SSquE}

Meong(425pts) — 12 Sovles

kali ini soalnya beruba Zip berpassword yang juga didalamnya terdapat VCS folder yaitu .git

jalan-jalan cari password di VCS nya, ternyata nemu 1 base32 dan 1 lagi base64 di 2 commit

commit: 3ff4a087f0f8ccceb0e059d9b471e26fe956a286
JVUWC52NNFQXO=== (MiawMiaw)commit: 06330f7943a541955f1d1a7da3e08ea10081c5ec aHR0cHM6Ly9tZWdhLm56L2ZpbGUvSEpoVUJhd0MjelJiVU5vMzRET1dwNVlkX3I5LWhoNTJGdUdweWMtQmdOR0xnYnJsWnE3VQ== (https://mega.nz/file/HJhUBawC#zRbUNo34DOWp5Yd_r9-hh52FuGpyc-BgNGLgbrlZq7U)

yang atas merupakan password langsung dari .zip nya dan yang bawah adalah Wordlist incase kalian mau bruteforce ZIP nya :)))

di extract dan dibuka, isinya base64 lagi

aHR0cHM6Ly90d2l0dGVyLmNvbS9Eb2VGdWxhbg== (https://twitter.com/DoeFulan)

pada tweet yang ini, di gambar galaxy nya, terdapat tulisan kecil bagian atas kiri

yang merupakan ASCII85 (tau darimana?? makanya nyalahin menyan!!)

/N,4?0JtXD2)Hj,0ebR>2)R6I3&`h

dapat kordinat stasiun Kota Cirebon

satu lagi di yucub dia

dapat kordinat gedung sate…

flagnya adalah hology3{kota1_kota2}

jadi….

Flag : hology3{cirebon_bandung}

Red Velvet (479pts) — 7 Solves

selanjutnya Red Velvet, yang merupakan soal Memory Dump

kita bisa pake volatility untuk melakukan forensic

Pertama kita cari dulu dia image dari OS apa

$ volatility -f Redvelvet imageinfoVolatility Foundation Volatility Framework 2.5
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP0x86, Win7SP1x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : WindowsCrashDumpSpace32 (Unnamed AS)
                     AS Layer3 : FileAddressSpace (/mnt/c/Users/iamnubs/Documents/CTF/Hology/Fore/redvelvet/Redvelvet)
                      PAE type : PAE
                           DTB : 0x3bce75a0L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2020-10-03 04:40:26 UTC+0000
     Image local date and time : 2020-10-03 11:40:26 +0700

selanjutnya dengan profile yang tersedia kita bisa jalan-jalan

melihat cmd apa saja yang telah terjadi

$ volatility -f Redvelvet --profile=Win7SP0x86 cmdscan
Volatility Foundation Volatility Framework 2.5
**************************************************
CommandProcess: conhost.exe Pid: 3360
CommandHistory: 0x50abb8 Application: cmd.exe Flags: Allocated, Reset
CommandCount: 1 LastAdded: 0 LastDisplayed: 0
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0xc
Cmd #0 @ 0x50fcb0: bm90IHRoaXMgdG9vIG15IGJyb3RoYXItLQ==

atau melihat clipboard

$ volatility -f Redvelvet --profile=Win7SP0x86 clipboard
Volatility Foundation Volatility Framework 2.5
Session    WindowStation Format                 Handle Object     Data
---------- ------------- ------------------ ---------- ---------- --------------------------------------------------
         1 WinSta0       CF_UNICODETEXT        0x60225 0xfdf11998 NBXWY33HPEZXWRDVNVYF6MKTL5CTIU3ZL5ZDCZ2IOR6Q====
         1 WinSta0       CF_LOCALE             0xd01f1 0xfe905490
         1 WinSta0       CF_TEXT                   0x1 ----------
         1 WinSta0       CF_OEMTEXT                0x1 ----------Volatility Foundation Volatility Framework 2.5
Session    WindowStation Format                 Handle Object     Data
---------- ------------- ------------------ ---------- ---------- --------------------------------------------------
         1 WinSta0       CF_UNICODETEXT        0x60225 0xfdf11998 NBXWY33HPEZXWRDVNVYF6MKTL5CTIU3ZL5ZDCZ2IOR6Q====
         1 WinSta0       CF_LOCALE             0xd01f1 0xfe905490
         1 WinSta0       CF_TEXT                   0x1 ----------
         1 WinSta0       CF_OEMTEXT                0x1 ----------

ternyata di cmd kita dapat base64

bm90IHRoaXMgdG9vIG15IGJyb3RoYXItLQ== (not this too my brothar--)

dan di clipboard kita dapat base32

NBXWY33HPEZXWRDVNVYF6MKTL5CTIU3ZL5ZDCZ2IOR6Q==== (hology3{Dump_1S_E4Sy_r1gHt})

yang merupakan flagnya

Flag :hology3{Dump_1S_E4Sy_r1gHt}

Basic Steg (500pts) — 2 Sovles [FIRSTBLOOD]

disinilah kekuatan menyan kita di uji

diberikan gambar ini oleh “Panitia” beneran,

yang ketika di check ternyata error

$ pngcheck maybe_its_a_clue.png
maybe_its_a_clue.png  additional data after IEND chunk
ERROR: maybe_its_a_clue.png

terlihat bahwa dibelakan IEND chuk terdapat tambahan data yang membuat file tersebut error

setelah diselidiki

ternyata benar, mulai dari IEND sampai akhir file terdapat tambahan byte byte lain.

dibagian akhir file terlihat sebuah kata-kata

xcod.ggggggalf  aphla 90.0 piZmotA

yang jika dibaca dari belakang merupakan

AtomZip 0.09 alhpa flagggggg.docx

dengan demikian, saya memotong file menjadi 2 memisahkan file PNG dengan file yang berada di belakang IEND chunk, tapi dengan membacanya dari belakang,

kita dapat melakukannya dengan mudah menggunakan python

dan setelah dianalisa lebih lanjut, ternyata file ini adalah file dari NanoZip, sebuah apps untuk compressi yang udah jadul banget.

langsung test extract

> nz.exe x output
NanoZip 0.09 alpha/Win64  (C) 2008-2011 Sami Runsas  www.nanozip.net
Intel(R) Core(TM) i7-7700HQ CPU @ 2.80GHz|55257 MHz|#4+HT|8183/16342 MB
Archive: output.nz
Threads: 4
Compressor #0: nz_optimum1 [13 MB]
Decompressed 5 722 bytes in 0.00s, 1863 KB/s.
IO-in: 0.00s, 4693 KB/s. IO-out: 0.00s, 931 KB/s

TADAAA

ternyata isi kontentnya hanya pengecoh

kita lihat lebih lanjut di bagian dalam docx nya karena pada dasarnya file doc juga file compresi seperti zip atau rar, jadi buka nya tinggal ganti extensi jadi .zip atau .rar

tidak ada yang menarik didalamnya

selain di style.xml

not-the-flag? what-the-flag?

download dulu dan jadiin bin gaes.

setelah jadi zip, dan dibuka terdapat file pengecoh dan folder .katalist

bakarrrr kemenyan dulu, udah hampir mati bara nya…

lanjut…..

singkat cerita isi dari file file random diatas merupakan WORDLIST ntah untuk apa

dengan kekuatan Supranatural, dan mencoba-coba kombinasi tools Steganography, akhirnya didapati bahwa

Indonesia.jpg adalah sebuah cipher dari aplikasi Steghide, dan random*.txt merupakan wordlist untuk bruteforce steghide passwordnya :)))))))

jalankan Crackernya, pastikan sudah membawa bekal kesabaran yang cukup..

dan ketemu di random5.txt

FINALLY : Dapat Base58

AXCkoAyyzmUiiwfiSQd9nznUynzik3Lo6 (hology3{1ts_e4sy_r1ght?})

tau darimana itu Base58 ? ( MENYAN NYA TERANG BRO!! )

Flag : hology3{1ts_e4sy_r1ght?}

Akhir kata… terimakasih sudah membaca,

seperti biasa setelah CTF kepala kita …

sampai jumpa di tulisan selanjutnya

Ctf
Ctf Writeup
Ctf2020
Hologyctf
Forensics

--

--

ghuniyu

Written by ghuniyu

11 Followers

Digital Forensics and Digital Supranatural Enthusiast

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams