はじめに
シンガポールで開催されたBlackHat Asia 2024の中で行われてたCTFのWriteupです。
Bugcrowdさんによる運営です。ありがとうございました。
Writeup書いて良いみたいだったので、備忘録です。
※ほぼForensicの内容です。
※問題文はキャプチャ忘れました。
Web
Easy Web
Forensic
Look closer and you will see
画像が渡されるのでとりあえず以下に叩き込みます。
Unk
よくわからないファイルを渡されるのでfile
でみます。
なんかよくわからんのでwalk
します。
OfficeのXMLかな?
binwalk -Me
で抽出してもらいます。unzip
とかでも良いです。
すると、サムネイルにフラグが見えました。
適当にOCRか何かに突っ込めばフラグが手に入ります。
Ramp Cat
何か猫の写真を渡されます。この猫の居場所を答える問題のよう。
exif回します。
GPS情報が見えるのでここら辺の地図でそれっぽい地名や店名を片っ端から解答しました。
多分以下のこれで引っかかったはず。
PDFcrypt
暗号化されたPDFを渡されました。
とりあえずpdf2john
します。
そのままPDFをこのパスワードで開いてみます。
フラグが見えました。
Lost Flash Drive
よくわからないDriveファイルを渡されるのでfile
します。
よくわからないのでwalk
します。
なんか色々ありますが、passwordのtxtがあるのでそこら辺を収集したいです。
binwalk -Me
します。
抽出したPassword.txtにフラグがありました。
A Friend
何やらzipファイルが渡されます。中身はMSのOfficeファイルのよう。
unzip
でうまくいかなかったので以下のコマンドで解凍します。
┌──(kali㉿kali)-[~/Downloads]
└─$ jar xvf a_friend.zip
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
inflated: a friend.docx
開くと以下の文字が見えます。
白塗りの可能性を考えて赤くします。
何か仕込んでいるみたいです。
docファイルをとりあえず探ってみましたが良いものがありませんでした。
unzipできなかった元のファイルが怪しいと思い、binwalk
してみます。
PNGが見えるのでそこが怪しそう。
最後にIEND.B
が見えるので最後までPNGとして扱ってしまってよさそう。前半部分をバイナリエディタなどで削除します。
※Macのバイナリエディタ使った。
整形したファイルを開きます。
フラグが見えました。