CHIqueen

100ptMagic PNGs:Can you help me open this zip file? I seem to have forgotten its password. I think the image file has something to do with it. tryme.zip과 you_cant_see_me.png 파일이 주어지는데 아마 png에서 암호를 구해 압축을 푸는 문제일거 같습니다. 사진을 열어봤을때 눈에 띄게 이상한부분이 있습니다. 파일의 시그니처와 idat인데 둘을 89 50 4E 47 2E 0A 2E 0A -> 89 50 4E 47 0D 0A 1A 0Aidat -> IDATh4CK3RM4n 이 그대로 넣으면 비번이 틀려서 풀리지 않습니다.md5(h4CK3RM4n) = 2c919f82ee2ed69..

50pt Do you think this is a normal image? No! Dig deeper to find out more..... 파일은 jpeg 파일이다. hxd로 열어보자 PK 시그니처 압축파일인것 같다. 추출해 압축을 풀어주면 a.zip과 secret.bmp가 나오는데 a.zip은 암호가 걸려있다. secret.bmp에서 압축 비밀번호를 얻어야 할거 같은데 사진을 열어보면 지원하지 않는 파일이라한다.이것도 hxd로 열어보자 b= 하고 base64가 보인다. 풀어보면the password is: h3110_th3r3! 라고 알려준다. 또 그냥 도형만 그려진 사진이 나온다. stegsolve로 한번 돌려보자 pctf{st3gs0lv3_1s_u53ful}

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..

We found out that one of the Otters been leaking information from our network! Find the leaked data. 패킷을 보다보면 SMB프로토콜을 많이 볼 수 있습니다 모두 저장을 해줍니다. 파일을 열어보면 전부 한글자씩 나눠 저장 되어 있습니다. 한번 다 출력 시켜 봅니다 LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0= base64 decode해줍니다 무스부호 같이 생겼네요 CTF{M0R5EOT73RINB64}

We recorded some of BirdMan's networking, but a part of it (the important part) got scrambled. 패킷을 보다보면 txtwizard.net에서 텍스트를 암호화한 패킷을 볼 수 있습니다. AES에 CBC모드로 PKCS5 패딩으로 암호화를 진행하였습니다. 우리는 key값 IV값 그리고 암호문을 얻으면 복호화를 할 수 있습니다. 그리고 Accept를 json으로 받았으니 json을 검색해 봅니다. 각각에 key, IV, ciphertext가 들어 있습니다. Key: XfCtxvD1yFZbxQ/+ULhAcA==, IV: sEhrZxQpnNnINixu3KQ1Tg==, cipherText: qKOtD3sK0WMMbAkIKach40aXJpNSz+..

Now that you extracted the password from the memory, could you decrypt rick's files? vmware-tray.exe에서 pdb정보를 찾아봅니다. $ strings executable.3720.exe | grep pdbC:\Users\Tyler\Desktop\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\VapeHacksLoader.pdb 경로를 보면 hidden-tear라고 하는 https://github.com/goliate/hidden-tear 랜섬웨어를 찾을 수 있습니다. 다행히도 decrypter도 같이 있습니다. 하지만 무엇을 복호화를 해야될까요? 0x000000007e410890 1..

Rick got to have his files recovered! What is the random password used to encrypt the files? 랜섬웨어에서 password관련 함수들을 찾아보면 CreatePassword()와 SendPassword(), startAction()이 있습니다. public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilder(); Random random = new Random(); while (0 < length--) { stringBuilder.Append("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1..

There's something fishy in the malware's graphics. CTF{S0_Just_M0v3_Socy}

We've found out that the malware is a ransomware. Find the attacker's bitcoin address. 먼저 프로세스를 덤프 떠줍니다. $ vol.py -f OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D ./ Volatility Foundation Volatility Framework 2.6 Process(V) ImageBase Name Result ------------------ ------------------ -------------------- ------ 0xfffffa801a4c5b30 0x0000000000ec0000 vmware-tray.ex OK: executable.3720.exe ..

The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension) BEAWARE! There are only 3 attempts to get the right flag! 3번의 기회를 주고 악성 프로세스의 이름을 찾으라 합니다. 먼저 프로세스 목록을 봅시다. Name Pid PPid Thds Hnds Time -------------------------------------------------- ------ ------ ------ ------ ---- 0xfffffa801b27e060:explore..