NigthSt0rm CTF 2017 | Ph03nix Team

Ph03nix Team

H4ck f0r fun

Home About Us
NigthSt0rm CTF 2017
BlackWings

I) Crypto - eXtraOldencRytion

aaa

Tên đề bài đã là hint =)) để ý các chữ cái viết hoa nhé ⇒ XOR
flag form NightSt0rm{ %s }
XOR THỬ PHÁT COI b64decode(cipher) ^ FLAG FORM == key@f00db10
11 cháu rồi để đấy
dùng xortool đoán key length => key length == 13 há há
magic nằm ở đây len(b64decode(cipher)) == 104 chia hết cho 13 ⇒ chết cha mầy
==> key[12] == d ⇒ bruteforce 1 chữ thôi há há

 NightSt0rm{-3_bytes___x0-__l34d___t0_-h3__v3ry____-_l000000000n-______fl4g__-_4t___0x3133-333337@6b766-}

…3 bytes x0… chắc là 13 bytes xor ?
0x3133…333337@6b766… chắc là số hoy nhẩy ?

NightSt0rm{13bytesx0R__l34dt0_th3v3ryl000000000ngfl4g4t__0x31333333337@6b7665}

II) MISC - WebAuth

file .bin check header ⇒ pcap chứ mịa gì mà trap :|
bla bla FTP, TCP, … mà lại thấy 1 đống request từ bruteforce attack user ftp
thằng nào láo nháo thật =))
filter tệ coi sao nào
ftp.response.code !=530 && ftp.response.code !=331
à đây r cháu nó bruteforce thành công kìa :| sâu mây rích :|

filter tiếp để truy vất thằng cờ hó này xem sao
ftp.response.code == 230
được 2 packet Login OK
follow hoy nhể **PASS nightst0rm123 **

lại là 1 đống trap =)) nhưng lại magic lần nữa TmlnaHRTdDB= decode base64 là NightSt0
chết cha mầy nhá =))
TmlnaHRTdDBybXtGVFBfRGljdGkwbmFyeV9BdHRhY2t9

NightSt0rm{FTP_Dicti0nary_Attack}

III) MISC - TRYHARD

SPECIAL THANK @LÊ QUANG THẢO

find-me.bin check hex ra 1 file memory dump thôi => volatility thần thánh
profile Win7SP1x86
pscan có conhost, DumpIT, gpg-agent
=> cháu nó encrypt file roài dự là flag =))
Scan cmd coi sao

Th1s_is_Fl4g_f0r_100.pdf

ây gù cơ mà xóa cmn mất file r dump thế vẹo nào :
strings thử phát coi :

thế là phán đoán k sai cháu nó đã encrypt file flag =)) và xóa sạch sẽ trong máy sau khi upload lên google drive
https://drive.google.com/file/d/0ByLZ4CxUZao1RVJBTWlVMDQtdEE/view

Vấn đề là tìm thế méo nào đc private key để unlock ??????
dò theo file .key được 2 file chết tiện trap của cháu nó :|
thôi lại cầu cứ strings lần 2 =))

Một lần nữa anh ấy lại thấy mây rích :|
PRIVATE KEY đây chứ đâu há há
gpg –import priv.key
PASSPHARSE: nightst0rm123

gpg –output flag.pdf –decrypt Th1s_is_Fl4g_f0r_100.pdf

Flag is: TmlnaHRTdDBybXtNM20wcnlfZjByM25zMWNzX3YzcnlfM2FzeSF9

NightSt0rm{M3m0ry_f0r3ns1cs_v3ry_3asy!}

IV) MISC TAYTO

Captcha challenge thôi cụ thể ở đây nó là dạng figlet google phát ra liền
Vậy áp dụng vào bài này như thế nào
Step 1: tạo 1 cái database A-Z0-9 là captcha tương ứng với từng chữ vì ở đây tác giả không print chữ thường mà có thêm vào thì cũng vậy thôi ez
Step 2: tách response thành từng chữ một. Cái này để ý ở giữa các chữ là 1 cột toàn dấu cách => tách theo nó thôi
Step 3: Coding chứ gì nữa :|
https://github.com/Ph03Nix-MrV/NightSt0rmCTF2017/blob/master/TAYTO/solve.py

NightSt0rm{d0_y0u_kn0w_pyfiglet?}