[Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

Thảo luận trong 'Writeup WhiteHat Grand Prix' bắt đầu bởi BkavCR, 20/09/14, 10:09 AM.

  1. BkavCR

    BkavCR Super Moderator

    Tham gia: 27/09/13, 11:09 AM
    Bài viết: 204
    Đã được thích: 90
    Điểm thành tích:
    48
    Link tải đề:
    For 300
    http://grandprix.whitehat.vn:8020/233E8E650C6A23960AF7D7132C20E852/for300.zip

    Link dự phòng: https://www.dropbox.com/s/yz31cc4ptw5s1a3/for300.zip

    Gợi ý 1: zip.001 ... zip.033
    Gợi ý 2: truecrypt

    Steg 200
    http://grandprix.whitehat.vn:8020/10BDD538215B07451481B57C8D019646/stegano200.zip

    Link dự phòng 1: https://www.dropbox.com/s/lx3nvds1amzid1o/stegano200.zip
    Link dự phòng 2: https://drive.google.com/file/d/0BwMZ7hWIVHyhQ3lsX0Vsbm9zdFU/edit?usp=sharing
    Link dự phòng 3: http://whitehat.vn/10BDD538215B07451481B57C8D019646/stegano200.zip
    Gợi ý: LSB

    Mời các bạn viết Writeup và cùng thảo luận về Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014.

    _____________________________________________________
    BQT cập nhật Writeup của team Felix để các bạn cùng tham khảo:

    For300 - None

    Đề bài là 1 file pcap, mở ra sẽ thấy đây là 1 file capture truyền tải dữ liệu qua giao tiếp USB, dữ liệu đang được copy từ máy host vào port 4.2.
    Lọc bớt những dữ liệu không cần quan tâm:

    [​IMG]

    USB Storage là một dạng block device, dữ liệu được truyền tải theo từng block, có thể thấy trong hình trên trước mỗi gói dữ liệu là một gói command write, kèm theo address và length theo Logical Block Address (LBA), kích thước mỗi mỗi block là 512 bytes.
    Ở những gói có len = 8 block là dữ liệu lưu vào record của file system NTFS, tam thời không hữu ích lắm.
    Trong số những gói này có một gói đặc biệt (gói số 660) là chứa thông tin INDEX được ghi vào những block đầu của file system. Sau khi dùng http://www.williballenthin.com/forensics/indx/ để parse ra thông tin files, chúng ta biết được file size chính xác của các file zip, chứ không phải filesize theo từng block, nếu bạn nào không tìm (hoặc đoán) được file size thì khi ráp lại rồi giải nén sẽ bị lỗi CRC ngay do dư rất nhiều \x00 bytes ở cuối mỗi file zip hoặc strip dư \x00 ở file 033.

    Bây giờ chỉ việc trích xuất từng file zip ra, có thể làm tay bằng cách chuột phải wireshark phần leftover capture data rồi chọn export selected bytes hoặc viết tool để parse, xong rồi nhớ cắt bỏ phần \x00 thừa ở cuối. Cách cá nhân mình làm là sử dụng chức năng export selected packet ra chuẩn xml bằng wireshark rồi dùng bash/python để parse ra.

    Cuối cùng là giải nén file Image rồi bruteforce (chịu thua), pass là #secret#
    Flag{8C6467EDF520AD802D782A2ABD11ECF582AF5777}

    Steg200

    Đề cho 1 file ảnh quote.png, thử 1 vòng với foremost thì thấy cuối file được gắn thêm file zip, extract ra thì thấy dòng
    :confused: Khá troll :v

    Sau đó chuyển qua stegsolv, file ảnh to quá làm load cực chậm, xem 1 hồi cũng ko thấy gì
    Cuối cùng từ hint của BTC lên search google với từ khóa: "LSB Stegano" thì thấy ngay tool này https://github.com/RobinDavid/LSB-Steganography
    Chạy thử phát không ngờ lại có kết quả:
    Bỏ vào brainfuck interpreter:
     
    Last edited by a moderator: 02/10/14, 06:10 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. knight9

    knight9 W-------

    Tham gia: 12/03/14, 09:03 AM
    Bài viết: 55
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    BTC cho mình hỏi cuối cùng pass truecrypt của Image là gì ợ, brute hết cái dictionary rockyou cũng chả ra -_-
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. hoank

    hoank W-------

    Tham gia: 11/05/14, 04:05 PM
    Bài viết: 25
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Bác dùng tool j vậy,e dùng tool TCBrute với cái từ điển đó ko ra -_-
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. knight9

    knight9 W-------

    Tham gia: 12/03/14, 09:03 AM
    Bài viết: 55
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Mình dùng cả hashcat lẫn truecrack bạn ơi :mad:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. ping

    ping Super Moderator

    Tham gia: 19/06/13, 09:06 AM
    Bài viết: 102
    Đã được thích: 34
    Điểm thành tích:
    48
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Các bạn có thể thử theo hướng này, tool và dict thì không hạn chế, tự code cũng được
    Dictionary: https://dazzlepod.com/site_media/txt/passwords.txt
    Tool: Truecrack

    True pass: #secret#
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. yeuchimse

    yeuchimse W-------

    Tham gia: 21/10/13, 10:10 PM
    Bài viết: 133
    Đã được thích: 0
    Điểm thành tích:
    36
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Có lẽ BTC nên bỏ thời gian đọc cái này:

     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. knight9

    knight9 W-------

    Tham gia: 12/03/14, 09:03 AM
    Bài viết: 55
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Flag{8C6467EDF520AD802D782A2ABD11ECF582AF5777}
    Hy vọng vòng chung kết BTC đừng ra thể loại bắt phải mò mò + đúng dict mới ra như vậy, trừ khi BTC muốn kết quả chung cuộc phụ thuộc vào may rủi.
    Nếu có challenge phải bruteforce thì nên dùng 1 password mà bất kì dictionary nào cũng có thể brute ra.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. knight9

    knight9 W-------

    Tham gia: 12/03/14, 09:03 AM
    Bài viết: 55
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    For300 - None

    Đề bài là 1 file pcap, mở ra sẽ thấy đây là 1 file capture truyền tải dữ liệu qua giao tiếp USB, dữ liệu đang được copy từ máy host vào port 4.2.
    Lọc bớt những dữ liệu không cần quan tâm:

    [​IMG]

    USB Storage là một dạng block device, dữ liệu được truyền tải theo từng block, có thể thấy trong hình trên trước mỗi gói dữ liệu là một gói command write, kèm theo address và length theo Logical Block Address (LBA), kích thước mỗi mỗi block là 512 bytes.
    Ở những gói có len = 8 block là dữ liệu lưu vào record của file system NTFS, tam thời không hữu ích lắm.
    Trong số những gói này có một gói đặc biệt (gói số 660) là chứa thông tin INDEX được ghi vào những block đầu của file system. Sau khi dùng http://www.williballenthin.com/forensics/indx/ để parse ra thông tin files, chúng ta biết được file size chính xác của các file zip, chứ không phải filesize theo từng block, nếu bạn nào không tìm (hoặc đoán) được file size thì khi ráp lại rồi giải nén sẽ bị lỗi CRC ngay do dư rất nhiều x00 bytes ở cuối mỗi file zip hoặc strip dư x00 ở file 033.

    Bây giờ chỉ việc trích xuất từng file zip ra, có thể làm tay bằng cách chuột phải wireshark phần leftover capture data rồi chọn export selected bytes hoặc viết tool để parse, xong rồi nhớ cắt bỏ phần x00 thừa ở cuối. Cách cá nhân mình làm là sử dụng chức năng export selected packet ra chuẩn xml bằng wireshark rồi dùng bash/python để parse ra.

    Cuối cùng là giải nén file Image rồi bruteforce (chịu thua), pass là #secret#
    Flag{8C6467EDF520AD802D782A2ABD11ECF582AF5777}

    Felix a.png
     
    Last edited by a moderator: 23/09/14, 10:09 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. ebfe

    ebfe W-------

    Tham gia: 23/05/14, 06:05 AM
    Bài viết: 12
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    ctf sao cho giống thế thực là đúng rồi, bruteforce pass 8 ký tự a-z, 1 # là bth. các chú chia máy ra mà bruteforce, cái này chả nhẽ các chú ko biết thì vl lắm.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. luffy

    luffy W-------

    Tham gia: 26/02/14, 08:02 AM
    Bài viết: 164
    Đã được thích: 32
    Điểm thành tích:
    48
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Thế bác có làm được câu này không vậy?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. knight9

    knight9 W-------

    Tham gia: 12/03/14, 09:03 AM
    Bài viết: 55
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Bác phán như đúng rồi, lúc brute mà biết nhiêu đó thì nói làm gì nữa.
    Chưa kể 27^8 là 300 tỉ password nhé bác. Dùng GTX680 brute cũng phải mất 100 triệu giây ~ 3 năm đó.
     
    Last edited by a moderator: 22/09/14, 12:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. ebfe

    ebfe W-------

    Tham gia: 23/05/14, 06:05 AM
    Bài viết: 12
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Bận CSAW nên không chơi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. yeuchimse

    yeuchimse W-------

    Tham gia: 21/10/13, 10:10 PM
    Bài viết: 133
    Đã được thích: 0
    Điểm thành tích:
    36
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    [​IMG][​IMG][​IMG] 9.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. knight9

    knight9 W-------

    Tham gia: 12/03/14, 09:03 AM
    Bài viết: 55
    Đã được thích: 0
    Điểm thành tích:
    16
    [Writeup] Steg200

    http://grandprix.whitehat.vn:8020/10...stegano200.zip

    Link dự phòng 1: https://www.dropbox.com/s/lx3nvds1amzid1o/stegano200.zip
    Link dự phòng 2: https://drive.google.com/file/d/0BwM...it?usp=sharing
    Link dự phòng 3: http://whitehat.vn/10BDD538215...stegano200.zip
    Gợi ý: LSB

    =====================================================
    Đề cho 1 file ảnh quote.png, thử 1 vòng với foremost thì thấy cuối file được gắn thêm file zip, extract ra thì thấy dòng
    :confused: Khá troll :v

    Sau đó chuyển qua stegsolv, file ảnh to quá làm load cực chậm, xem 1 hồi cũng ko thấy gì
    Cuối cùng từ hint của BTC lên search google với từ khóa: "LSB Stegano" thì thấy ngay tool này https://github.com/RobinDavid/LSB-Steganography
    Chạy thử phát không ngờ lại có kết quả:
    Bỏ vào brainfuck interpreter:
    Felix
     
    Last edited by a moderator: 23/09/14, 10:09 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. ping

    ping Super Moderator

    Tham gia: 19/06/13, 09:06 AM
    Bài viết: 102
    Đã được thích: 34
    Điểm thành tích:
    48
    Re: [Writeup] Chủ đề Forensics - Vòng loại WhiteHat Grand Prix 2014

    Cảm ơn góp ý của yeuchimse, BTC xin tiếp nhận ý kiến của bạn :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan