FCSC 2022 - C-3PO

ZarKyo published on Oct 29, 2022 included in Writeups Fcsc-2022

Catégorie : Forensics

Difficulté : ⭐

C-3PO

Ennoncé

Pour votre première analyse, on vous confie le téléphone du PDG de GoodCorp.
Ce dernier est certain que les précieuses photos stockées sur son téléphone sont récupérées par un acteur malveillant.
Vous décidez de mettre en place une capture réseau sur le téléphone, afin de voir ce qu’il en est…
SHA256(capture.cap) = 7b63c22567098f829dfdc190b6f531bbdf23a23e222508752a0a5e5dfa28259c (61Mo).
Note : les épreuves C-3PO, R2-D2 et R5-D4 sont indépendantes

FCSC 2022 - Échec OP

ZarKyo published on Oct 29, 2022 included in Writeups Fcsc-2022

Échec OP

Catégorie : Forensics

Échec OP 0/3

Difficulté : ⭐

Ennoncé

Quel est l’identifiant unique (UUID) de la table de partition de ce disque ? Une fois que vous l’aurez trouvé, encadrez le dans FCSC{} pour obtenir le flag. Par exemple FCSC{1111-2222-3333-4444}.
SHA256(fcsc.7z) = fe23478be033fb87db95313650619d95a3756d90d272e82887d70936c7700f5c (5.4GB). SHA256(fcsc.raw) = 18b33658c9fc8e81666f04999bd38cb6709c6a7399d8a43a72028caa278067bf (10GB). Note : le fichier fcsc.7z est le même pour tous les challenges Echec OP.

Solve

fdisk -l fcsc.raw
Disk fcsc.raw: 10 GiB, 10737418240 bytes, 20971520 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 60DA4A85-6F6F-4043-8A38-0AB83853E6DC

Device       Start      End  Sectors  Size Type
fcsc.raw1     2048     4095     2048    1M BIOS boot
fcsc.raw2     4096  1861631  1857536  907M Linux filesystem
fcsc.raw3  1861632 20969471 19107840  9,1G Linux filesystem

Flag : FCSC{60DA4A85-6F6F-4043-8A38-0AB83853E6DC}

Hackvens 2022 - A strange dump

ZarKyo published on Oct 29, 2022 included in Writeups Hackvens-2022

A strange dump

Énoncé

Vous avez récupéré un dump mémoire d’un ordinateur qui trainait lors d’une mission CSIRT. Celui-ci semble avoir réalisé des activités plus que douteuses. A vous de trouver des potentiels fichiers qui pourraient confirmer ou non vos soupçons.

Solve

We have a memory dump to analyze, we will start by determining the profile with Volatility2 :

./vol2 -f JEAN-PC-20220928-121426.raw imageinfo           
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/zarkyo/info/cyber/advens/forensic/JEAN-PC-20220928-121426.raw)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf800027f20a0L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff800027f3d00L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2022-09-28 12:14:29 UTC+0000
     Image local date and time : 2022-09-28 14:14:29 +0200

Note the confidential.7z file opened with WinRAR :

Hackvens 2022 - I Will Rock You

ZarKyo published on Oct 29, 2022 included in Writeups Hackvens-2022

I Will Rock You

Énoncé

Trouvez le flag à l’intérieur du firmware.

Solve

binwalk -e Firmware.zip 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------

WARNING: Extractor.execute failed to run external extractor 'jar xvf '%e'': [Errno 2] No such file or directory: 'jar', 'jar xvf '%e'' might not be installed correctly
16            0x10            Zip archive data, encrypted at least v2.0 to extract, compressed size: 19065659, uncompressed size: 19111936, name: fs.bin
19065831      0x122EBE7       End of Zip archive, footer length: 22

We will bruteforce the zip with the wordlist rockyou as the name of the challenge indicates :

Hackvens 2022 - Turn me on

ZarKyo published on Oct 29, 2022 included in Writeups Hackvens-2022

Turn me on

Énoncé

Reprenons le controle de nos objets connectés avec Tasmota !

Solve

Doc Tasmota: https://tasmota.github.io/docs/

With a little research, we understand that it is possible to execute commands or manage the equipment via a web interface while being on the same WiFi.

(face-to-face CTF) Equipment with Tasmota is present in the room. A WiFi IOT is available and protected by a password.

Objective n°1, find the WiFi password.

HeroCTFv3 - HollyAbbot

ZarKyo published on Oct 29, 2022 included in Writeups HeroCTFv3

HollyAbbot

Dans son règne, Dans la béatitude
À tout jamais Dans son règne
Dans son royaume Irrévocablement
Dans son royaume Dans la béatitude
Dans son royaume Irrévocablement
Toujours En paradis

https://www.apprendre-en-ligne.net/crypto/tritheme/index.html

suvwbstijuvwtijon

s|uvw|bst|ij||uvw|t|ij|on

Flag : substitution