CHIqueen
OtterCTF 2018 Birdman's Data
We recorded some of BirdMan's networking, but a part of it (the important part) got scrambled. 패킷을 보다보면 txtwizard.net에서 텍스트를 암호화한 패킷을 볼 수 있습니다. AES에 CBC모드로 PKCS5 패딩으로 암호화를 진행하였습니다. 우리는 key값 IV값 그리고 암호문을 얻으면 복호화를 할 수 있습니다. 그리고 Accept를 json으로 받았으니 json을 검색해 봅니다. 각각에 key, IV, ciphertext가 들어 있습니다. Key: XfCtxvD1yFZbxQ/+ULhAcA==, IV: sEhrZxQpnNnINixu3KQ1Tg==, cipherText: qKOtD3sK0WMMbAkIKach40aXJpNSz+..
OtterCTF 2018 Closure
Now that you extracted the password from the memory, could you decrypt rick's files? vmware-tray.exe에서 pdb정보를 찾아봅니다. $ strings executable.3720.exe | grep pdbC:\Users\Tyler\Desktop\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\VapeHacksLoader.pdb 경로를 보면 hidden-tear라고 하는 https://github.com/goliate/hidden-tear 랜섬웨어를 찾을 수 있습니다. 다행히도 decrypter도 같이 있습니다. 하지만 무엇을 복호화를 해야될까요? 0x000000007e410890 1..
Rick got to have his files recovered! What is the random password used to encrypt the files? 랜섬웨어에서 password관련 함수들을 찾아보면 CreatePassword()와 SendPassword(), startAction()이 있습니다. public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilder(); Random random = new Random(); while (0 < length--) { stringBuilder.Append("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1..