- [Forensics] Ghost in the Clipboard
- [Forensics] Lazy Admin
- [Forensics] Not Obvious
- [Web] Console Scrabble
- [Web] Git er' done
- [Web] SwiftMaster
- [Web] The Path to Victory
[Forensics] Ghost in the Clipboard
AppDataフォルダからフラグを抜き取る問題。
ヒントがある。
Hint: You had clipboard history turned on in windows at the time of the attack. Perhaps the attacker copied the password?
なるほど。以下を参考にクリップボードの履歴を探索していく。
- https://www.inversecos.com/2022/05/how-to-perform-clipboard-forensics.html
- https://twitter.com/inversecos/status/1530081561445826560/photo/1
AppData\Local\ConnectedDevicesPlatform\4f406c0d314b1399\ActivitiesCache.dbにクリップボードの履歴があるので、sqlitebrowserで開いて、SmartLookupのClipboardPayloadを漁るとフラグがあった。
[Forensics] Lazy Admin
pcapngファイルが与えられる。
TCPストリームもそれほどないので巡回していると、ストリーム3でパスワードがPOSTで送られており、フラグになっている。
[Forensics] Not Obvious
jpg画像が与えられる。
exiftoolで見てみると、Authorにbase64っぽいものが置いてある。
$ exiftool Temoc.jpg | grep Author Author : dGV4c2F3e1kwdUYwdW5kMXR9
CyberChefでbase64デコードするとフラグが得られる。
[Web] Console Scrabble
>としか書かれていないサイトが与えられる。
/challenge.jsを読み込んでおり、使われていない大量の関数が定義されている。
関数は三文字変数を表示するだけみたいなので、三文字変数を全部ダンプしてみる
gar = 1nG
kar = _4_
qar = fl
war = ag}
far = tex
nar = FlA
ear = 4g
aar = {wh
mar = 3ve
zar = saw
car = h4t
tar = r_m
xar = y4k
bar = bez
har = 4n_
jar = its
yar = jAm
vat = bezOs
sat = r_m4n_its
gat = jAm1nG_
nat = y4kh4t3ve
tat = FlAG_
pat = texsaw
bat = wh4t3ve
jat = {wh_ag}
hat = _4_fl4g
pin = {wh4t3ve
ain = bezOsFlAG_
fin = y4kh4t3ve}
gin = r_m4n_its_4_fl4g
lin = texsaw}
jin = texsawjAm
win = jAm1nG_texsawy4kh4t3ve
qin = {wh_ag}_4_fl4g
ban = texsaw{wh4t3ve
han = bezOsFlAG_bezOsFlAG_r_m4n_its_4_fl4g
qan = {wh_ag}_4_fl4g{wh4t3ve
tan = y4kh4t3ve}texsaw}jAm
pan = y4kh4t3vejAm1nG_texsawy4kh4t3ve
wan = texsawjAm{wh4t3ve
fan = r_m4n_its_4_fl4g}
wem = texsawjAm{wh4t3vey4kh4t3ve}texsaw}jAm
rem = {wh_ag}_4_fl4g{wh4t3vey4kh4t3ve}
lem = texsaw{wh4t3ver_m4n_its_4_fl4g}
qem = y4kh4t3vejAm1nG_texsawy4kh4t3ve{wh_ag}_4_fl4g{wh4t3ve
hem = bezOsFlAG_bezOsFlAG_r_m4n_its_4_fl4gr_m4n_its_4_fl4g}
tun = texsawjAm{wh4t3vey4kh4t3ve}texsaw}jAmy4kh4t3vejAm1nG_texsawy4kh4t3ve{wh_ag}_4_fl4g{wh4t3ve
lun = bezOsFlAG_bezOsFlAG_r_m4n_its_4_fl4gr_m4n_its_4_fl4g}{wh_ag}_4_fl4g{wh4t3vey4kh4t3ve}
fun = texsawjAm{wh4t3vey4kh4t3ve}texsaw}jAmy4kh4t3vejAm1nG_texsawy4kh4t3ve{wh_ag}_4_fl4g{wh4t3vebezOsFlAG_bezOsFlAG_r_m4n_its_4_fl4gr_m4n_its_4_fl4g}{wh_ag}_4_fl4g{wh4t3vey4kh4t3ve}
一番それっぽいものを探すと lem = texsaw{wh4t3ver_m4n_its_4_fl4g} だろう。
[Web] Git er' done
setup automatic cloning from git repositoryと書かれているので/.git/を見てみるとディレクトリスティングされてくる。
arthaud/git-dumper: A tool to dump a git repository from a website
を使って全部抜いてこよう。
git log -pをして編集履歴を見るとフラグが見つかる。
[Web] SwiftMaster
Download Clueというボタンを押すとjpegファイルが落ちてくる。
fileコマンドしてみると何やら出てくる。
$ file * download: JPEG image data, JFIF standard 1.01, resolution (DPI), density 72x72, segment length 16, Exif Standard: [TIFF image data, big-endian, direntries=5, xresolution=74, yresolution=82, resolutionunit=2, copyright=secret_key_is:'v3rY_5eKr33t'], progressive, precision 8, 3008x2000, components 3
v3rY_5eKr33tという秘密鍵がもらえた。
texsaw{keyvalue}という感じに答えればいいっぽいので、くるんで答えれば正答。
[Web] The Path to Victory
独特なサイトが与えられる。
リダイレクトが走り/webpage/files/dir/index.htmlに飛ばされるが、ディレクトリをさかのぼっていくと、
ディレクトリリスティングができる状態であることに気が付く。
色々探索すると/webpage/session_keys.txtにフラグが書いてある。
