🐪

【Capture The Talent LaunchCTF】Forensic 問writeup

2022/02/24に公開

about LaunchCTF

Hack the Box のDante ラボの作成者が主催するCTF。参加費用は英国の慈善団体に寄付されるらしい。
https://www.eventbrite.co.uk/e/capture-the-talent-launch-ctf-tickets-223198702327#

Forensic writeup

チャレンジ説明文のキャプチャを失念したので、問題の内容は雰囲気だけ記載。

Ramp Cat

画像が配布され、映っている猫のいる場所を当てる。

解いてみた
  • web のexif viewer でメタデータからGPS の情報を確認。
    GPS Position 40.720428 degrees N, 73.984008 degrees W

  • Google Map でアクセスすると、ニューヨークの一角であることがわかる。

  • 付近でCat Cafe を発見。店内の写真をみると画像と雰囲気が似ている。

  • 店名の"Koneko"で通った。

Lost flash drive

I found a flash drive in the street...てことで、lost_flash_drive.zipが渡された。

解いてみた
  • zip 解凍。lost_flash_driveってファイルがでてきた。

  • ファイル情報確認。

user@DESKTOP-97O2UKH:/mnt/d/Downloads/lost_flash_drive$ file lost_flash_drive
lost_flash_drive: DOS/MBR boot sector; partition 1 : ID=0x7, start-CHS (0x3ff,254,63), end-CHS (0x3ff,254,63), startsector 2, 7831550 sectors, extended partition table (last)-CHS (0x3ff,254,63), startsector 2, 7831550 sectors, extended partition table (last)  
  • FTK でイメージを開いてみる。

  • Documents の配下にpasswords.txtという怪しいファイル発見。LumpySpacePrincess:flag{its_adventure_time_yee_boi!!!}というflag 発見、これで通った。

pdfcrypt

Hmm.... this PDF file is encrypted. I can't open it... Can you?てことで、encrypted.pdf を渡される。ファイルを開くとパスワード求められる。

解いてみた
  • pdf を開くとパスワードが要求される。

  • pdf2john でhash 化。

$ perl pdf2john.pl /mnt/d/Downloads/encrypted.pdf > pdf.hash
  • ワードリストで抽出したhash をクラック。パスワードhackedを特定。
$ john pdf.hash --wordlist=/usr/share/wordlists/rockyou.txt
Using default input encoding: UTF-8
Loaded 1 password hash (PDF [MD5 SHA2 RC4/AES 32/64])
Cost 1 (revision) is 4 for all loaded hashes
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
hacked           (/mnt/d/Downloads/encrypted.pdf)
1g 0:00:00:00 DONE (2022-02-24 20:07) 3.448g/s 180744p/s 180744c/s 180744C/s lights1..gummybear1
Use the "--show --format=PDF" options to display all of the cracked passwords reliably
Session completed
  • 見つけたパスワードでpdf を開くとflag 発見、'flag{kramer_the_best_hacker_ever}'これで通った。

もっと便利なpdf のパスワードクラッカーあった気がするが忘れた。

Unk

What the world is this file???てことで、unkというファイルを渡された。

解いてみた
  • fileコマンドで調べる。zip っぽい。
$ file unk 
unk: Zip archive data, made by v4.5, extract using at least v2.0, last modified Mon Jan 26 00:44:48 1970, uncompressed size 1364, method=deflate
  • zip 解凍。
$ unzip unk                                                          127 ⨯
Archive:  unk
file #1:  bad zipfile offset (local header sig):  0
  inflating: _rels/.rels             
  inflating: word/_rels/document.xml.rels  
  inflating: word/document.xml       
  inflating: word/theme/theme1.xml   
 extracting: docProps/thumbnail.jpeg  
  inflating: word/settings.xml       
  inflating: word/fontTable.xml      
  inflating: word/webSettings.xml    
  inflating: docProps/core.xml       
  inflating: word/styles.xml         
  inflating: docProps/app.xml        
                                                                             
┌──(kali㉿kali)-[~/Desktop/unk_folder]
└─$ ls                                                                   2 ⨯
docProps  _rels  unk  word
  • docProps/thumbnail.jpeg でflag 発見、これで通った。

A Friend

My friend has been acting a little weird lately. He sent me a weird message. Can you figure out what's up?

a_friend.zipというファイルを渡された。

解いてみた
  • unzip... できない。
$ unzip a_friend.zip 
Archive:  a_friend.zip
  End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
note:  a_friend.zip may be a plain executable, not an archive
unzip:  cannot find zipfile directory in one of a_friend.zip or
        a_friend.zip.zip, and cannot find a_friend.zip.ZIP, period.
binwalk -D='.*' a_friend.zip

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Zip archive data, at least v2.0 to extract, compressed size: 12250, uncompressed size: 24626, name: a friend.docx
12404         0x3074          End of Zip archive, footer length: 22
12426         0x308A          PNG image, 5312 x 2988, 8-bit/color RGB, non-interlaced
15889         0x3E11          Zlib compressed data, default compression
  • 0x308Aのpng ファイルを開くとflag 発見。

binwalk コマンド、こうやって使うんだ勉強になった。

Discussion