NicePDF

We take the first sentence of the PDF.

DansHseseHistoires,rl'historienogrec{HérodoteErapporte4ainsiSuneYanecdote_quiPeutDlieuFau}moment de la seconde guerre médique

Flag : Hero{E4SY_PDF}

We need you

We need you 1/5

Flag : Hero{KANNIBAL}

We need you 2/5

Flag : Hero{Razex:liverpoolfc123}

We need you 3/5

My Passwords

Ennoncé

We have exfiltrated data from a malicious person’s computer and we need his pastebin password.

Unfortunately, the file system dump was damaged, so the only thing we were able to recover is provided to you.

Can you recover his password?

Catégorie : Forensics

Difficulté : facile

Format : Hero{pastebin_mdp}

Author : Worty

Solve

We discover a firefox dump with 2 profiles, but only 1 will interest us

It remembers everything

Catégorie : Forensics

It-remembers-everything 1/3

Difficulté : facile

Enoncé

Lors d’un raid sur un camp ennemi, nous avons tout juste eu le temps de dump la mémoire d’un ordinateur avant que celle-ci ne soit effacée. Malheureusement, nous n’avons aucune information sur la manière dont la machine était utilisée. Retrouvez le nom de l’utilisateur ainsi que celui de la machine.

Format : MCTF{nomutilisateur:nommachine}

└─$ ./vol2 -f chall.raw imageinfo

Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/zarkyo/midnight/forensic/chall.raw)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf80002803070L
          Number of Processors : 1
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0xfffff80002804d00L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2022-04-09 12:18:42 UTC+0000
     Image local date and time : 2022-04-09 14:18:42 +0200


└─$ ./vol2 -f chall.raw --profile=Win7SP1x64 hivelist
Volatility Foundation Volatility Framework 2.6
Virtual            Physical           Name
------------------ ------------------ ----
0xfffff8a001c07010 0x0000000077ec2010 \??\C:\System Volume Information\Syscache.hve
0xfffff8a005da0010 0x000000002a739010 \SystemRoot\System32\Config\SECURITY
0xfffff8a005df9420 0x000000002a999420 \SystemRoot\System32\Config\SAM
0xfffff8a00000f010 0x000000002d415010 [no name]
0xfffff8a000024010 0x000000002d3e0010 \REGISTRY\MACHINE\SYSTEM
0xfffff8a00004e010 0x000000002d3ca010 \REGISTRY\MACHINE\HARDWARE
0xfffff8a0009f2010 0x000000002bced010 \SystemRoot\System32\Config\DEFAULT
0xfffff8a000ac8420 0x000000004fe10420 \Device\HarddiskVolume1\Boot\BCD
0xfffff8a000ade320 0x0000000023a5c320 \SystemRoot\System32\Config\SOFTWARE
0xfffff8a000c96010 0x000000002a4c5010 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0xfffff8a000d1d010 0x0000000044f5a010 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0xfffff8a001964010 0x0000000011077010 \??\C:\Users\h4ck3rM4n\AppData\Local\Microsoft\Windows\UsrClass.dat
0xfffff8a0019a1010 0x0000000012562010 \??\C:\Users\h4ck3rM4n\ntuser.dat

We notice the NTUser.dat which is a system file of the Windows user profile :

ResolveMe

Enoncé

Notre NDR nous a remonté une alerte avec un tag basé sur une tactique MITRE Attaack “Exfiltration”. Par chance, j’ai réussi à dump la capture pcap depuis la console. Votre mission, si vous l’accepter est d’investiguer et de comprendre ce qui a bien pu se passer.

Solve

We have a pcap file, we open the file with wireshark

With wireshark file > export object > http > filename p4rt1

Auteur : ZarKyo

Catégorie : Cryptographie

Tout droit vers le point

Ennoncé

Un espion americain infiltré en Russie vous a contacté en morse pour vous transmettre 2 messages. A vous des les déchiffrer. Auparavant il vous a transmis une suite de charactère incompréhensible et une grille mais incomplète, à quoi peut-elle bien servir ?

• Message chiffré : GGGGXGVGAFFAFFDDDDFDFAAGVGDAVDFXDXADVXFDVVFDFFVDGGGGFVAAAFDGAAGFFFFAFAAXVGAVVVDDXDXGAVFDAAADGVGXAVXGAAXFGVGVVDVAXFXVAVAAFXVVXX
• Grille incomplète : L5BWRD.C7UAFH3.XE6O2S.1VIN4G0.TQ9Z8.
• 2 audios

Solve

First, one begins by doing research to assign the encrypted message to a particular encryption method. The exclusive use of the letters ADFGVX leads us to the ADFGVX Number. By reading documentation, we realize that it is an algorithm which associates a substitution inspired by the square of Polybius and a transposition.