CHIqueen

We recorded some of BirdMan's networking, but a part of it (the important part) got scrambled. 패킷을 보다보면 txtwizard.net에서 텍스트를 암호화한 패킷을 볼 수 있습니다. AES에 CBC모드로 PKCS5 패딩으로 암호화를 진행하였습니다. 우리는 key값 IV값 그리고 암호문을 얻으면 복호화를 할 수 있습니다. 그리고 Accept를 json으로 받았으니 json을 검색해 봅니다. 각각에 key, IV, ciphertext가 들어 있습니다. Key: XfCtxvD1yFZbxQ/+ULhAcA==, IV: sEhrZxQpnNnINixu3KQ1Tg==, cipherText: qKOtD3sK0WMMbAkIKach40aXJpNSz+..

Now that you extracted the password from the memory, could you decrypt rick's files? vmware-tray.exe에서 pdb정보를 찾아봅니다. $ strings executable.3720.exe | grep pdbC:\Users\Tyler\Desktop\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\VapeHacksLoader.pdb 경로를 보면 hidden-tear라고 하는 https://github.com/goliate/hidden-tear 랜섬웨어를 찾을 수 있습니다. 다행히도 decrypter도 같이 있습니다. 하지만 무엇을 복호화를 해야될까요? 0x000000007e410890 1..

Rick got to have his files recovered! What is the random password used to encrypt the files? 랜섬웨어에서 password관련 함수들을 찾아보면 CreatePassword()와 SendPassword(), startAction()이 있습니다. public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilder(); Random random = new Random(); while (0 < length--) { stringBuilder.Append("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1..

There's something fishy in the malware's graphics. CTF{S0_Just_M0v3_Socy}

We've found out that the malware is a ransomware. Find the attacker's bitcoin address. 먼저 프로세스를 덤프 떠줍니다. $ vol.py -f OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D ./ Volatility Foundation Volatility Framework 2.6 Process(V) ImageBase Name Result ------------------ ------------------ -------------------- ------ 0xfffffa801a4c5b30 0x0000000000ec0000 vmware-tray.ex OK: executable.3720.exe ..

The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension) BEAWARE! There are only 3 attempts to get the right flag! 3번의 기회를 주고 악성 프로세스의 이름을 찾으라 합니다. 먼저 프로세스 목록을 봅시다. Name Pid PPid Thds Hnds Time -------------------------------------------------- ------ ------ ------ ------ ---- 0xfffffa801b27e060:explore..

Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password? 이메일 비밀번호를 복사해서 붙여 넣는다고 합니다. 그러면 클립보드에 저장되어 있을테니 클립보드를 떼봅시다. $ vol.py -f OtterCTF.vmem --profile=Win7SP1x64 clipboard Volatility Foundation Volatility Framework 2.6 Session WindowStation ..

We know that the account was logged in to a channel called Lunar-3. what is the account name? format: CTF{flag} Lunar-3채널에 접속해 있는 게임 계정의 이름을 묻고 있습니다. vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 708 -D ./ $ strings 708.dmp | grep Lunar-3 -A 3 -B 3 // 위로 3줄 아래로 3줄 추가 출력 c+Yt tb+Y4c+Y b+YLc+Y Lunar-3 Lunar-4 L(dNVxdNV L|eNV -- disabled mouseOver keyFocused Lunar-3 0tt3r8r33z3 Sound/UI.i..

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server? format: CTF{flag} 게임 이름과 게임 서버의 ip를 알아내시면 됩니다. vol.py -f OtterCTF.vmem --profile=Win7SP1x64 netscan 0x7d6124d0 TCPv4 192.168.202.131:49530 77.102.199.102:7575 CLOSED 708 LunarMS.exe CTF{LunarMS}, CTF{77.102.199.102}

Let's start easy - whats the PC's name and IP address?format: CTF{flag} 컴퓨터의 이름과 IP를 알아내면 됩니다.vol.py -f OtterCTF.vmem --profile=Win7SP1x64 printkey -K 'ControlSet001\Control\ComputerName\ComputerName'CTF{WIN-LO6FAF3DTFE} vol.py -f OtterCTF.vmem --profile=Win7SP1x64 netscanCTF{192.168.202.131}