VCS Blue CTF Season 2

On Job Training

Reverse

RE02

Nhận thấy có vẻ là macro 4.0 nên mình unhide sheet thử và ra một sheet khác là HaiHN45

Ctrl A Ctrl V vào cyberchef, mình có thể thấy được flag

Flag: VCS{MY_SUPERPOWER_IS_RICH}

RE03

Bài này thì chỉ cần quay lại virustotal ở bài Hunt02 là sẽ thấy được C2.

Flag: www.cyberintel.io

RE04

Do có file liên quan tới network nên mình đã thử submit tất cả IP lên nhưng không có cái nào đúng.

Để ý lại thì có file dmp của Acrodat, một file mã độc của bài Hunt04 nên mình đã thử lấy ra các domain trong đó xem có gì hay không

Submit từng domain lên và mình ra được flag (challenge này không giới hạn số lần submit)

Flag: 365officemail.com

RE05

Với bài này, mình sử dụng DotPeek để decompile file mã độc ra. Thuật toán khá lằng nhằng và khó đảo ngược nhưng sau cùng, nó chỉ là xor

Trong những file được cho thì chỉ có VScodeSetup là có thể down từ trên mạng nên mình sẽ sử dụng file gốc xor với file bị mã hóa sẽ ra được key. Lấy key xor với flag mã hóa sẽ ra được flag. Do date của các file mã hóa là 01/12/2023 nên mình đã thử với tất cả các version trước đó và ra ở v1_63_2.

Update: Thật ra trong C.txt có sẵn version nhưng do dài nên mình không đọc, đâm ra tải hơi nhiều file.

Flag: VCS{toi_yeu_em_chan_thanh_em_chup_man_hinh_gui_ban_cuoi_hahahahaha_x3.14}

Content

Trapped

LLMNR (Link-Local Multicast Name Resolution) là một giao thức được sử dụng khi DNS không thể phân giải tên miền. Nếu một máy client nhập sai tên tài nguyên hoặc tên tài nguyên không tồn tại trong hệ thống DNS, máy đó sẽ chuyển sang sử dụng LLMNR để gửi các request multicast trên mạng nội bộ nhằm tìm kiếm tài nguyên.

Được bro bên Tier 3 giới thiệu thì mình đã sử dụng Network Miner để biết được vai trò của các IP.

Tiếp theo filter các gói tin llmnr

Để ý thì khi IP 10.10.5.101 query live1337, thay vì ip của nó, ta lại thấy có trả về IP 10.10.5.100. Có thể đoán đây là một dạng tấn công LLMNR Poisoning (https://www.youtube.com/watch?v=2QCX9yce_oA). Nhìn vào packet 28389, ta thấy IPv6 của victim đã gửi NTLM hash của mình cho IPv6 của attacker (trapped)

Flag: VCS_CTF{28389_10_10_5_101}

Yara

Với bài này, mình được cho một folder chứa các file pe. Nhiệm vụ là viết yara rule để match với tất cả các file pe được cho là malware.

Scan các file pe bằng virustotal thì mình thấy có một số file là malware. Sử dụng Exeinfo thì mình thấy các file malware đều có First byte là 90 90 90 FC E8 82 00 00 00 60

Vậy chỉ cần viết sao cho nó match các byte trên thoi

rule detect { strings: $mz_header = { 90 FC E8 82 } condition: any of them}

Flag: VCS_CTF{Make_Blue_Bluer}

Deep Within Me

Bài này, khi mở ra thì mình thấy có khá nhiều gói tin winrm bị mã hóa

Ngoài ra còn có 1 file ps1 và 1 gói tin chứa file zip

$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$saveDir = "$env:TEMP\s3cr3t"
$registryKeys = @(
    "HKLM\SAM",
    "HKLM\SECURITY",
    "HKLM\SYSTEM"
)

if (-not (Test-Path -Path $saveDir)) {
    New-Item -Path $saveDir -ItemType Directory | Out-Null
}

foreach ($key in $registryKeys) {
    $fileName = "$saveDir\$($key.Split('\')[-1])_$timestamp.reg"
    reg save $key $fileName /y
}

Export ra và mình có các file được lấy sử dụng script ps1 trên.

Tuy nhiên để đọc thì cần password. Có vẻ password sẽ nằm trong các gói tin winrm nên mình nghĩ tới việc decrypt chúng. Muốn vậy thì ta phải có password của user mà đã tạo nên các gói tin này. Để ý thì ở đây ta có duy nhất local.admin authen thành công

Nên mình sẽ sử dụng https://github.com/sinnaj-r/NTLMssp-Extract để lấy ra hash của local.admin để bruteforce bằng file rockyou được cho sẵn

Chọn cái nào cũng được và sửa để có thể dùng hashcat crack

Sau khi đã có pass thì mình sử dụng winrm-decrypt để decrypt các gói tin winrm (https://github.com/h4sh5/decrypt-winrm)

Do có rất nhiều mã base64 nên mình đáp hết vào cyberchef đọc cho dễ. Đoạn này thì cứ ngồi decode với đọc thoi. Sau cùng thì nó là đoạn này

Sử dụng pass là NSFW_SSIS_313, mình mở được file zip

Sử dụng GPT, mình dễ dàng lấy được hash từ các file reg này bằng impacket-secretsdump

Flag: 7c7b12c49fd695fb7b8411d4aca018ca

Threat Analysis

Tier 1.1

Dựa trên alert đề bài, mình thử filter từ source id, path, target id, ... cho khớp với cmd.exe và thử nộp các process liên quan. Sau cùng thì nó là cái này:

Đơn giản là vì 12692 và 12664 chính là 2 process trong alert

Flag: 2d6b1e622ee6a9eed87154b3ccdf983b

Tier 1.2

Cũng trong file trên, mình thấy có sự xuất hiện của tool sau:

Lấy hash của nmap và mình ra được flag

Flag: 378b2f7902074349e6ab20b8f0653459

Tier 1.3

Khi chiếm quyền điều khiển được thiết bị thì một thiết bị khác tối quan trọng trong hệ thống được nhắm tới thường sẽ là DC. Nên mình đã tìm domain của DC để submit và ra được flag.

Flag: DC01.evil.corp

Tier 2.1

Do đã có alert id nên chỉ cần search và tìm IP thôi

Flag: 192.168.184.133

Tier 2.2

Bỏ filter id đi thì có rất nhiều alert như này, mình đoán đây chính là masscan được nói tới. Thử submit và mình có flag.

Flag: 149.88.106.131

Tier 2.3

Với bài này, mình thử tra các request đến từ attacker và filter từ khóa password (vì là lấy thông tin login) và may mắn là đã ra luôn flag

Flag: /dashboard.php?id=-3457%27%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CCONCAT%280x7162627071%2CJSON_ARRAYAGG%28CONCAT_WS%280x76677662626e%2Caddress%2Ccontact_number%2Cemail%2Cid%2Cpassword%2Cusername%29%29%2C0x7176707071%29%2CNULL%2CNULL%2CNULL%20FROM%20darkhole_2.users--%20-

Tier 3

Sử dụng Virustotal, mình thấy được các domain mà IP cần điều tra đã sử dụng. Ở đây, mình chỉ nhìn vào các domain trước ngày 08/09/2024, ngày mà có alert.

Bỏ qua các web mà không bất thường (như shop, ...), mình cắm burpsuite scan tất cả các trang mà mình nghi, cho tới trang này

Khi scan ta thấy được có một file index.php.bak trong robots.txt. Thử down về thì thấy source code index:

<?php
	header("X-Greeting: hello");
?>

<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $salt = 'AXYZVOIY'; 
    $expectedHash = '0cd56c81b9836d72e1f1752b8b30c402'; 

    $enteredPassword = $_POST['password'];

    $enteredHash = md5($enteredPassword . $salt);

    if ($enteredHash === $expectedHash) {
        $_SESSION['authenticated'] = true;
        echo 'Password is correct.';
    } else {
        echo 'Password is <i>incorrect</i>';
    }
}

if (!isset($_SESSION['authenticated']) || $_SESSION['authenticated'] !== true) {
    ?>

    <h2>Access Requested?</h2>
    <form method="POST" action="">
        <label for="password">Password:</label>
        <input type="password" name="password" id="password" required>
        <button type="submit">Submit</button>
    </form>

    <?php
    exit();
}

if (isset($_POST['logout']) && $_POST['logout'] === 'true') {
    session_destroy();
    header('Location: index.php');
    exit();
}
?>

<b>Remote Code Execution</b> <br />
<form method="GET" action="">
    Command: <input type="text" name="command" size="50" value="<?php if (isset($_GET['command'])) { echo htmlspecialchars($_GET['command']); } ?>" />
    <button type="submit">Go</button>
</form>
<?php
if (isset($_GET['command'])) {
    $command = $_GET['command'];
    echo '<pre>';
    echo 'Command: ' . $command . "\n";
    echo '</pre>';
}
?>

<hr />

<b>Logout</b> <br />
<form method="POST" action="">
    <input type="hidden" name="logout" value="true" />
    <button type="submit">Logout</button>
</form>
<pre>
<?php
if (isset($_POST['logout']) && $_POST['logout'] === 'true') {
    session_destroy();
    header('Location: index.php');
    exit();
}
?>
</pre>

Do đã có thuật toán so sánh hàm băm MD5 vs Salt, mình sử dụng hashcat và ra được password là p@$$w0rd.

Submit và mình có flag

Flag: flag{L0N9_lIved_I3lue_tEaM}

Hunting

Hunt 01

Parse log ra csv sau đó search administrator$ sẽ thấy flag

Flag: Abc000..

Hunt 02

Sử dụng Avast (do mấy tool khác không cho tải free), ta ra được malware. Up lên virustotal (do không có sẵn certutil) để lấy flag.

Flag: 91caea3203d9f99d277f1e890b006143

Hunt 04

Sau khi đá qua một số file thì mình tìm thấy được file này ở trong unverify_dll.csv trông khá đáng ngờ do có tên gần giống với phần mềm Acrobat

Lấy hash từ file unverify_dll.txt, mình ra được flag.

Flag: D6ADF85D417C6D5DDFBE47213B032018

Hunt 05

Ở bài này, ta được biết rằng không thể truy cập máy ảo như thông thường vì cứ login account vào là tự động shutdown máy. Trường hợp này xảy ra có thể do attacker có thể đã load malware cụ thể là một dll độc hại nào đó vào một process nào đó mà có thể được chạy khi login vào hệ thống.

Một số process có thể được chạy khi ta login vào hệ thống như là svchost.exe, services.exe, explorer.exe,…

Sau khi cài xong máy ảo, mình tiến hành login để kiểm tra xem có vấn đề gì xảy ra không.

Khi mình login, có một popup active windows hiện ra, mình chưa thấy dấu hiệu bị shutdown. Mình thử mở browser bằng cách chọn Active Now => Buy online…

Hoàn toàn có thể vào được Chrome mà không bị shutdown.

Mình thử mở folder Download bằng việc vào Download => Open Download Folder trên Chrome.

Tuy nhiên ngay khi folder mở ra, thì máy lập tức shutdown. Từ đây mình có thể suy luận nhanh có thể explorer.exe đã bị dll sideload vì tiến trình này có chức năng là quản lý GUI, các thư mục NTFS, thanh taskbar, icon,… Nó chứng minh rằng khi folder download mở ra, có các file và biểu tượng nghĩa là tiến trình explorer được tạo và thực thi và bị dll sideload một dll độc hại nào đó có chức năng shutdown máy tính.

Giờ nhiệm vụ của ta là tìm các dll được nạp vào tiến trình Explorer.exe này. Mình sử dụng Safemode để có thể truy cập vào Windows. Ta biết rằng Explorer.exe sẽ ưu tiên nạp các dll ở thư mục C:\Windows đầu tiên. Mình truy cập vào folder này và grep một chút.

Mình thấy có một dll khá lạ là linkinfo.dll.

Search một chút về dll này thì không có thông tin gì quá nhiều vậy nên nó khá là sus. Ngồi tìm chút thì mình thấy máy ảo này có chứa IDA, ngon lành rồi mình sử dụng IDA để decompile file dll này xem bên trong có gì.

Ta có thể thấy ngay flag sau khi ném vào ida, vậy rõ ràng đây là file dll độc hại rồi.

Flag: VCS{IT_Helpdesk_King_of_all_Job}

Forensic

FOR 01

Khi kiểm tra trong file log_auth, mình thấy một loạt các IP sau kết nối tới port sql

Do đề bài yêu cầu dải IP nên đáp án sẽ là 10.0.44.0/24

Flag: 10.0.44.0/24

FOR 03

Tra google với từ khóa "ctf bmc file", mình được gợi ý tool sau:

GitHub - ANSSI-FR/bmc-tools: RDP Bitmap Cache parserGitHub

Dựa vào 3 mảnh này, mình có thể lấy được flag

Flag: VCS{do_y0ur_b3st}

FOR 04

Với bài này, mình sử dụng AmcacheParser để parse amcache ra xem có gì không

Khi đọc file UnassociatedFileEntries, mình thấy có tool có vẻ giống đế scan. Thử submit và ta có được flag.

Flag: C:\Users\Guest$\Downloads\Advanced_IP_Scanner_2.5.3850.exe

FOR 05

Search google "Advanced IP Scanner forensic" và mình ra được bài này https://www.huntandhackett.com/blog/advanced-ip-scanner-the-preferred-scanner-in-the-apt-toolbox

Làm theo và mình thấy được dải ip trong state

Flag: 10.1.0.1-10.1.7.254

FOR 06

Để tìm được IP tải tool của attacker thì mình đã nghĩ tới việc xem trong event log. Mình đã lướt qua kha khá log cho tới khi tới log powershell, mình thấy một event như sau có liên quan tới việc tải file.

Mặc dù tên không phải advanced... nhưng do IP chứ không phải một domain cụ thể nên mình chắc nếu có tải thì sẽ luôn tải từ ip này. Thử nộp và mình đã solve được bài này

Flag: 10.3.0.41

FOR 07

Do bài này yêu cầu tìm USB từ Hunt04 nên mình đã thử nhìn vào file USBDeview.html ở ngay folder bài Hunt04

Dựa trên thời gian mã độc tồn tại là vào 29/09/2023 10:55, thử search ngày đó và ta chỉ có duy nhất 1 dòng. Vậy đây khả năng chính là usb độc hại này.

Flag: WXV2A43F9667