はじめに

シンガポールで開催されたBlackHat Asia 2024の中で行われてたCTFのWriteupです。
Bugcrowdさんによる運営です。ありがとうございました。
Writeup書いて良いみたいだったので、備忘録です。
※ほぼForensicの内容です。
※問題文はキャプチャ忘れました。

Web

Easy Web

とりあえずソースを洗ったらフラグがコメントにありました。

Forensic

Look closer and you will see

画像が渡されるのでとりあえず以下に叩き込みます。

普通にStringsで見つけました。

Unk

よくわからないファイルを渡されるのでfileでみます。

なんかよくわからんのでwalkします。

OfficeのXMLかな？
binwalk -Meで抽出してもらいます。unzipとかでも良いです。
すると、サムネイルにフラグが見えました。

適当にOCRか何かに突っ込めばフラグが手に入ります。

Ramp Cat

何か猫の写真を渡されます。この猫の居場所を答える問題のよう。

exif回します。

GPS情報が見えるのでここら辺の地図でそれっぽい地名や店名を片っ端から解答しました。
多分以下のこれで引っかかったはず。

PDFcrypt

暗号化されたPDFを渡されました。
とりあえずpdf2johnします。

そのままPDFをこのパスワードで開いてみます。

フラグが見えました。

Lost Flash Drive

よくわからないDriveファイルを渡されるのでfileします。

よくわからないのでwalkします。

なんか色々ありますが、passwordのtxtがあるのでそこら辺を収集したいです。
binwalk -Meします。
抽出したPassword.txtにフラグがありました。

A Friend

何やらzipファイルが渡されます。中身はMSのOfficeファイルのよう。
unzipでうまくいかなかったので以下のコマンドで解凍します。

┌──(kali㉿kali)-[~/Downloads]
└─$ jar xvf a_friend.zip                                 
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
 inflated: a friend.docx

開くと以下の文字が見えます。

白塗りの可能性を考えて赤くします。

何か仕込んでいるみたいです。
docファイルをとりあえず探ってみましたが良いものがありませんでした。
unzipできなかった元のファイルが怪しいと思い、binwalkしてみます。

PNGが見えるのでそこが怪しそう。

最後にIEND.Bが見えるので最後までPNGとして扱ってしまってよさそう。前半部分をバイナリエディタなどで削除します。

※Macのバイナリエディタ使った。
整形したファイルを開きます。

フラグが見えました。