OtterCTF 2018 Closure

Now that you extracted the password from the memory, could you decrypt rick's files?

vmware-tray.exe에서 pdb정보를 찾아봅니다.

$ strings executable.3720.exe | grep pdb

C:\Users\Tyler\Desktop\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\VapeHacksLoader.pdb

경로를 보면 hidden-tear라고 하는 https://github.com/goliate/hidden-tear 랜섬웨어를 찾을 수 있습니다. 다행히도 decrypter도 같이 있습니다.

하지만 무엇을 복호화를 해야될까요?

0x000000007e410890     16      0 R--r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -D ./

파일을 얻고나서 프로그램을 돌리면 일단 2가지 난관을 겪는다.

1. 프로그램은 복호화 성공했다는데 정작 파일을 열어보면 복호화 안됨

2. 패딩값이 안맞아서 에러남

1. decrypter를 뜯어서 보면 확장자가 .locked인 파일을 대상으로만 복호화를 하니까 확장자를 locked로 해주면 된다.

2. 00전부 다 없애주면 성공한다.

CTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}