- [beginner] Charlotte's Web
- [Forensics] Dino Trading
- [Forensics] Employee 427: Compromised
- [Forensics] Employee 427: Locate
[beginner] Charlotte's Web
click me for the flagというボタンだけあるサイトが与えられる。
押しても何ももらえない。
ソースコードを見ると<!-- /src -->というコメントがあり、開くとソースコードがもらえる。
import flask app = flask.Flask(__name__) @app.route('/', methods=['GET']) def index(): return flask.send_file('index.html') @app.route('/src', methods=['GET']) def source(): return flask.send_file('app.py') @app.route('/super-secret-route-nobody-will-guess', methods=['PUT']) def flag(): return open('flag').read()
PUT /super-secret-route-nobody-will-guessを開くとフラグがもらえる。
PUTリクエストのやり方は何でもいいが、自分はBurp Suiteで一旦/super-secret-route-nobody-will-guessを開き、
GETでリクエストしてから、その履歴をRepeaterに送ってGETをPUTに書き換えて再送することで、PUTで開いた。
(上記、PUTリクエストのやり方に困っている人向けの粒度の説明ではない気もするが…)
[Forensics] Dino Trading
パケットを確認するとFTPでepicflight.jpgというファイルが送られているだけ。
他にめぼしい所もないので、とりあえず空パスワードでsteghideしてみると抽出できる。
$ steghide extract -sf epicfight.jpg Enter passphrase: wrote extracted data to "hidden.txt". $ cat hidden.txt d2N0Znthbl8xbWFnZV9pbl9hX3BlZWNhcF9iNjR9
base64エンコードされているのでデコードすればフラグになる。
[Forensics] Employee 427: Compromised
Windowsのディスクデータが与えられる。
順番にめぼしい所を探すか…と思ったが、初手の場所でフラグが手に入った。
[root]\Users\emplo\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt rm profits.jpg; #pastebin-dot-com-slash-75Muuu8m
PowerShellのコンソールログを見ると、見慣れぬコメントがあり、指定のpastebinに移動するとフラグがあった。
[Forensics] Employee 427: Locate
Autopsyを使ってみる。
反則級にいろいろ出てくる。
lnkファイルが残っていたのだろう。最近開いたドキュメントとして以下が抽出されてくる。
- C:\Users\emplo\Desktop\IMPORTANT DO NOT DELETE\profits.jpg
- C:\Users\emplo\Desktop\IMPORTANT DO NOT DELETE\profits_redacted.jpg
ファイルビューのjpegを覗くと、profits_redacted.jpgが発見されていた。
中身を見てみるとredactedされており、パスにもIMPORTANT DO NOT DELETEとあるので、
我々が探すべきファイルはprofits.jpgなのだろう。
ウェブ履歴を見てみるとEdgeの履歴に面白いログがある。
History org.sleuthkit.datamodel.Score@1e875234 NO_COMMENT 1 https://github.com/awesomecorp3234243523/private-documents 2023-03-16 15:22:47 JST https://github.com/awesomecorp3234243523/private-documents GitHub - awesomecorp3234243523/private-documents Microsoft Edge github.com LogicalFileSet1
https://github.com/awesomecorp3234243523/private-documentsにアクセスしてみると
profits_old.jpgというファイルがあり、フラグが書かれている。
出題者のミスか?とも思ったが、数日前に取得されているアカウントっぽいし、
WinRARをわざわざ使っている所からも攻撃者のExfiltrationということなのだろう。
