FCSC 2023 - Ransomémoire

Thanks to Abyss W4tcher for his volatility install script which allows running volatility in a docker.


Ransomémoire

Category : forensics

Ransomémoire 0/3 - Pour commencer

Difficulty : ⭐

States

You are preparing to analyze a memory capture and you write down some information about the machine before diving into the analysis:

  • username,
  • machine name,
  • browser used.

The flag is in the format FCSC{user name:machine name:browser name} where:

  • username is the name of the user who uses the machine,
  • machine name is the name of the scanned machine and
  • browser name is the name of the currently running browser.

For example: FCSC{toto:Computer-of-jojo:Firefox}.

FCSC 2023 - Weird Shell

Weird Shell

Category: forensics

Difficulty : ⭐

States

Another user has similar behavior to Windows Gazette (intro category). But this time, to find what was sent to the attacker, you may need more logs.

SHA256(Microsoft-Windows-PowerShell%4Operational.evtx) = 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc

SHA256(Security.evtx) = 1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689

Solve

We check the integrity of the log files :

sha256sum Microsoft-Windows-PowerShell4Operational.evtx | grep 7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc
                                                       
7b2ce2b5d231c9c09018fed031b1e8aae7a661d192167fb29f238a29bf744bdc  Microsoft-Windows-PowerShell4Operational.evtx


sha256sum Security.evtx | grep 1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689

1c55121cd0488aa625d44eefd7560e8e7749306358ae312523946891edc1f689  Security.evtx

We will use the evtx tool to parse the .evtx :

BreizhCTF 2023 - The Lost Key

The Lost Key

Difficulty: Easy

Author: Zeecka

States

The USB key of a Norman terrorist has been recovered. Investigate his support to prevent him from taking action!

Solve

tar xzvf the_lost_key.tar.gz
the_lost_key.img

A file & fdisk to get information about the dump :

file the_lost_key.img 
the_lost_key.img: DOS/MBR boot sector; partition 1 : ID=0x7, start-CHS (0x4,4,1), end-CHS (0x3ff,254,2), startsector 2048, 3909632 sectors
fdisk -l the_lost_key.img 
Disque the_lost_key.img : 1,87 GiB, 2003632128 octets, 3913344 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : dos
Identifiant de disque : 0x7bdf73d0

Périphérique            Amorçage Début     Fin Secteurs Taille Id Type
the_lost_key.img1           2048 3911679  3909632   1,9G  7 HPFS/NTFS/exFAT

We will open in Autopsy the dump, the dump does not contain many documents. We can recover a PDF with a rather interesting name protected by a password :

DGHACK 2022 - Pas Un Bon Nom

Pas Un Bon Nom

Difficulté : Facile

Énoncé

J’étais là tranquillou sur mon PC, m’voyez ? Je télécharge des films et tout, m’voyez ? Et alors il y a ce message étrange que je dois payer Dogecoin pour > déchiffrer mes données. Je ne l’ai pas fait… donc maintenant mes données sont chiffrées :( Donc tiens, prends le disque dur, c’est pas comme si il était utile maintenant… Sauf si c’était possible de retrouver la clé utilisée par ce méchant hacker, m’voyez ? S’il te plaiiiit ? Tu serais adorable merci !

DGHACK 2022 - Vivre pas cher

Vivre pas cher

Difficulté : Moyen

Énoncé

Notre serveur a été piraté. C’est une évidence. Ils dévoilent notre code source sans arrêt, dès que nous le mettons à jour. Vous devez trouver l’origine de cette backdoor dès que possible. Annie Massion, Services postaux

Solve

Mount the image :

sudo modprobe nbd
sudo qemu-nbd -r -c /dev/nbd1 cheap-life.img
sudo mount -o ro,noload /dev/nbd1p1 /mnt/tmp

Solve 1

We are looking for a backdoor :

BreizhCTF 2022 - Des deux côtés

Des deux côtés

Auteur: Worty

Format : BZHCTF{}

Partie 1/2

Énoncé

Voir les deux côtés de quelque chose, c’est toujours bon non?

Vous êtes une APT et un de vos collègues a volé une machine chez une entreprise du CAC40, malheureusement, celle-ci ne veut plus démarrer..

Votre collègue étant un hacker en herbe, il a pensé à faire un dump mémoire avant que la machine rende l’âme ! Retrouvez le fichier qui contient des données confidentielles dans ce dump mémoire !