CrypForenser

Report - Misc ( 200 + 0 ) Mr. Belford sucks, is he hiding something.... Download:  http://dl.ctf.rocks/Report.tar.gz We are given a PDF file, at first i though maybe they hide some image or hidden text inside the pdf, so i use this site to extract   But wow, the are neither image nor font ,  nothing but text and metadata, cool  :D  So i was googling to see if the anyway to hide data in PDF We know that hidden data can be embeded in  But in SHA2017 CTF, i have solved something encrypted with AES , to recover, we must know how the PDF Structure to get key, so i think maybe the data is embeded in the OBJ section like  and below is the hidden data that we need to find.  So I used binwalk to extract data in pdf file ( fore some reason i cant use any pdf tool in my ubuntu, still working on fixing lol ) , then check the obj section ( in .zlib ) as u can see, we know that the prefix "SECT" in hex are : 53 45 43 54 , and BAM look at this index tab

Đề: Begining always needs an interesting  challenge , we can assure you, this challenge is an interesting one to begin the CTF! Ta nhận được 1 file flag.enc và 1 file simple.py Sau 1 hồi quan sát ta thấy rằng mã hóa này có điểm yếu ở dòng  enc = xor_str(key * (len(flag) // len(key) + 1), flag).encode('hex') Ta có thể phục lại được flag bằng cách check length() của file flag.enc là 25280 đặt phần ( len(flag) // len(key) + 1 ) = x lúc này mã hóa sẽ thành enc = x_str(key*x,flag).encode('hex') -> ta có thể biết được độ dài của x vì function xor_str có điểm yếu là if len(x) > len(y):         return ''.join([chr(ord(z) ^ ord(p)) for (z, p) in zip(x[:len(y)], y)])     else:         return ''.join([chr(ord(z) ^ ord(p)) for (z, p) in zip(x, y[:len(x)])]) Dễ dàng thấy độ dài của file = độ dài của file mã hóa / len( key.encode('hex') = 25280 / 40 = 632  ta đã có x lúc này phục hồi bằng cách  flag = xor_str( key*x , flag.enc )

Đề: HUqQr1pmoTkwZT1yKmWsHUqQK0t0L2guMTS5sA== Tiến hành Decode Base64 Hmm, gì đây nhỉ, có cả kí tự k đọc được và kí tự đọc được, mà bài này lại là bài warn up là ở dạng dễ Mình nghĩ rằng có thể nó là xor , cơ mà khi thử cả xortool lần xortay thì nhận ra rằng tầm bậy r Vậy có thể là ascii ceasar quay vòng vòng nhỉ? Thử viết script để test xem sao? ok vẫn fail :)) cay rồi How about Caesar thẳng cái base64 -_-  và cuối cùng tại ROT13, ta nhận được flag

Đề: The most useful testing IQ page ever was released! Check your brain! http://128.199.89.195:8002/ Bài này khá là troll :v mình đã chơi thử đến level 11, thì gặp câu BILL GATE có bao nhiêu tiền :v quỳ sấp mặt, và được đàn anh khen là Low IQ ever :v Ok nên mình đã bình tĩnh lại và nhận ra rằng mỗi lần ta chơi thua, ta đều bị quay lại từ đầu cơ mà khi nhấp back thì ta lại quay chính vòng chơi trước http://128.199.89.195:8002/index.php?level=865c0c0b4ab0e063e5caa3387c1a8741 Ok vậy là bây giờ có thể ta chỉ cần điền đúng đối số cho level, ta có thể qua màn 1 cách dễ dàng mình thử check xem level có theo quy luật nào k thì thấy rằng đối số truyền vào level là 1 số đã bị md5 encode Mình thử decode và thấy rằng nó chính là md(i) theo La mã thì i = 1 ii = 2 iii = 3 ..... ở vòng mình kẹt là vòng 11 vậy nên sẽ là xi ở vòng 11 mình được thông báo là đã đang close to the flag -> mình thử vào level = md5(xiii) Ok thấy gái xinh là phải Of course chứ gì nữa

Đề: for onsite team, contact orgnaiser to copy,thanks. https://drive.google.com/open?id=0B7ahcQCpMll-ZmRDZzJJWkRpSkk Bài này cho ta 1 file raw tận 2G, khá là căng, mình tiến hành phân tích với volatility và đầu tiên là check imageinfo, nhưng k hiểu lí do gì mấy chạy ngoài k ra -_- bực mình thử xài STRINGS thần chưởng thì supprise madafuka

Đề: I'm Different https://drive.google.com/open?id=0B7ahcQCpMll-MUdzcHQ3czJsM0E Ta nhận được 1 file pcap, và trong khi phân tích, ta nhận thấy có rất nhiều gói tin ICMP được gửi Quan sát và ta nhận thấy có 1 vài gói có chưa data lạ dạng hex Ta extract data và decode -> ta nhận được 1 chuỗi hex Tiếp tục decode hex ta nhận được 2 chuỗi , ta có thể thấy chuỗi thứ 2 là base64, base64 decode -> flag: F1nd_Us_Aga1n_olololol -> PwC{F1nd_Us_Aga1n_olololol} yeah và bạn đã bị troll rất thốn :) chọn cái khác nha =)) tiếp tục thử gói tiếp theo nó ra thế này : W3_m33t_Aga1n_olololol tiếp tục gói nữa ta tìm được : PwC{W3_Ar3_1cMp_Tunn3L1Ng} chính là flag thật <3