【Capture The Talent LaunchCTF】Forensic 問writeup
about LaunchCTF
Hack the Box のDante ラボの作成者が主催するCTF。参加費用は英国の慈善団体に寄付されるらしい。
Forensic writeup
チャレンジ説明文のキャプチャを失念したので、問題の内容は雰囲気だけ記載。
Ramp Cat
画像が配布され、映っている猫のいる場所を当てる。
解いてみた
-
web のexif viewer でメタデータからGPS の情報を確認。
GPS Position 40.720428 degrees N, 73.984008 degrees W -
Google Map でアクセスすると、ニューヨークの一角であることがわかる。
-
付近でCat Cafe を発見。店内の写真をみると画像と雰囲気が似ている。
-
店名の"Koneko"で通った。
Lost flash drive
I found a flash drive in the street...てことで、lost_flash_drive.zipが渡された。
解いてみた
-
zip 解凍。lost_flash_driveってファイルがでてきた。
-
ファイル情報確認。
user@DESKTOP-97O2UKH:/mnt/d/Downloads/lost_flash_drive$ file lost_flash_drive
lost_flash_drive: DOS/MBR boot sector; partition 1 : ID=0x7, start-CHS (0x3ff,254,63), end-CHS (0x3ff,254,63), startsector 2, 7831550 sectors, extended partition table (last)-CHS (0x3ff,254,63), startsector 2, 7831550 sectors, extended partition table (last)
-
FTK でイメージを開いてみる。
-
Documents の配下に
passwords.txtという怪しいファイル発見。LumpySpacePrincess:flag{its_adventure_time_yee_boi!!!}というflag 発見、これで通った。
pdfcrypt
Hmm.... this PDF file is encrypted. I can't open it... Can you?てことで、encrypted.pdf を渡される。ファイルを開くとパスワード求められる。
解いてみた
-
pdf を開くとパスワードが要求される。
-
pdf2john でhash 化。
$ perl pdf2john.pl /mnt/d/Downloads/encrypted.pdf > pdf.hash
- ワードリストで抽出したhash をクラック。パスワード
hackedを特定。
$ john pdf.hash --wordlist=/usr/share/wordlists/rockyou.txt
Using default input encoding: UTF-8
Loaded 1 password hash (PDF [MD5 SHA2 RC4/AES 32/64])
Cost 1 (revision) is 4 for all loaded hashes
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
hacked (/mnt/d/Downloads/encrypted.pdf)
1g 0:00:00:00 DONE (2022-02-24 20:07) 3.448g/s 180744p/s 180744c/s 180744C/s lights1..gummybear1
Use the "--show --format=PDF" options to display all of the cracked passwords reliably
Session completed
- 見つけたパスワードでpdf を開くとflag 発見、'flag{kramer_the_best_hacker_ever}'これで通った。
もっと便利なpdf のパスワードクラッカーあった気がするが忘れた。
Unk
What the world is this file???てことで、unkというファイルを渡された。
解いてみた
-
fileコマンドで調べる。zip っぽい。
$ file unk
unk: Zip archive data, made by v4.5, extract using at least v2.0, last modified Mon Jan 26 00:44:48 1970, uncompressed size 1364, method=deflate
- zip 解凍。
$ unzip unk 127 ⨯
Archive: unk
file #1: bad zipfile offset (local header sig): 0
inflating: _rels/.rels
inflating: word/_rels/document.xml.rels
inflating: word/document.xml
inflating: word/theme/theme1.xml
extracting: docProps/thumbnail.jpeg
inflating: word/settings.xml
inflating: word/fontTable.xml
inflating: word/webSettings.xml
inflating: docProps/core.xml
inflating: word/styles.xml
inflating: docProps/app.xml
┌──(kali㉿kali)-[~/Desktop/unk_folder]
└─$ ls 2 ⨯
docProps _rels unk word
- docProps/thumbnail.jpeg でflag 発見、これで通った。
A Friend
My friend has been acting a little weird lately. He sent me a weird message. Can you figure out what's up?
a_friend.zipというファイルを渡された。
解いてみた
- unzip... できない。
$ unzip a_friend.zip
Archive: a_friend.zip
End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.
note: a_friend.zip may be a plain executable, not an archive
unzip: cannot find zipfile directory in one of a_friend.zip or
a_friend.zip.zip, and cannot find a_friend.zip.ZIP, period.
-
ググる。binwalk コマンドの使い方がまとまっている記事を見つける。
https://qiita.com/hana_shin/items/a730b1b60eadd1ab3b36 -
ファイル抽出。
_a_friend.zip.extractedがでてくる。
binwalk -D='.*' a_friend.zip
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 Zip archive data, at least v2.0 to extract, compressed size: 12250, uncompressed size: 24626, name: a friend.docx
12404 0x3074 End of Zip archive, footer length: 22
12426 0x308A PNG image, 5312 x 2988, 8-bit/color RGB, non-interlaced
15889 0x3E11 Zlib compressed data, default compression
-
0x308Aのpng ファイルを開くとflag 発見。
binwalk コマンド、こうやって使うんだ勉強になった。
Discussion