user@linuxtrack:~ $ python -c 'print("Soyez les bienvenus !")'

Vous n'êtes pas identifié(e).

Pages : 1

#1 16-02-2020 18:23:39

penthium2
Modérateur

sarCTF ( ctf 24h russe)

Premier CTF pour la Team : FlagOver.beer ( tete2soja, k-lfa, Glyann, bluegalak et moi )
Malheureusement tete2soja n'as rien pu faire ( taf oblige ) et bluegalak a aidé sur un challenge.


c'était un CTF russe de 24h.

les scores finaux était pas donné je les mettrais plus tard

Malheureusement au début du CTF la plateforme a subit un DDOS la rendant très très lent, voir il était impossible a se co, ou entré un flag.

bref tout est rentré dans l'ordre dans la nuit.

Deep dive
Deep dive
711
Worth digging into these tricks.

1581868195_874pxugc.jpg

fichier fournit : flag.txt

après un binwalk on :

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             POSIX tar archive (GNU)

je décompresse et un autre archive ( gzip ) qui a une archive, qui a une archive,...
un petit script et c'est partie : 

[== Indéfini ==]
#!/bin/bash
cd test
pass=$(ls -l | awk '/^-/ {print $NF}')
echo $pass
mkdir "rep"
declare -i count=0
while 7z x -orep "$pass" ; do
	rm "$(ls -l | awk '/^-/ {print $NF}')"
	mv "rep"/* .
	pass=$(ls -l | awk '/^-/ {print $NF}')
	count+=1
done
echo "$count extracted archive"
cat $(ls -l | awk '/^-/ {print $NF}')

et le resultat tombe :
722 extracted archive


FLAG{matri0sha256}

La plateforme n'as pas voulut fonctionné pour moi a ce moment la, c'est donc Glyann qui le flag pour moi.



Layouts
Layouts
866
Sherlock found a huge pile of evidence, but it was difficult for him to analyze them. Help him.

1581868301_d199feho.jpg

fichier : RWtm7A5f

Après analyse via binwalk c'est une archive 7z
après tentative d'extraction elle est protégée par un mot de passe.
après tentative mdp = nom du fichier ca marche. Mais c'est un 7z dans un 7z dans un 7z etc..


création d'un rep test, copy du fichier RWtm7A5f dans test et go script : 

#!/bin/bash
cd test
pass=$(ls)
echo $pass
while 7z x -p$pass $pass ; do
	if [[ ! -f flag ]] ; then
	rm $pass
	pass=$(ls)
else
	exit
fi
done

A la fin un a un ficher flag ( qui est une archive 7Z aussi ) maintenant extraction du fichier flag (sans mdp ) 

7z x flag

il donne un fichier flag~
binwalk dessus donne une archive tar  (file flag~  flag~: POSIX tar archive )

mv flag~ flag.tar
tar xf flag.tar

on a une arborescence de 255 répertoire avec parfois des fichiers vide.
extraction de la liste de ces fichiers : 

 tar tvf flag.tar | awk '/^-/ {print $NF}'
flags/49/19
flags/49/20
flags/51/10
flags/52/7
flags/52/14
flags/53/17
flags/78/3
flags/83/1
flags/84/4
flags/89/2
flags/95/15
flags/101/9
flags/102/11
flags/103/8
flags/110/16
flags/112/18
flags/117/12
flags/120/13
flags/122/6
flags/123/5
flags/125/21

on s'apercoit que les répertoire dans lequel sont les fichier ne dépasse pas 127, et que les fichier vont de 1 a 21.
sachant que le fichier 21 est dans le rep 125
Hors en ASCCI 125 = "}"

voila la solution donc :

tar tvf flag.tar | awk '/^-/ {print $NF}' | awk -F"/" '{print $3, $2}' | sort -n -k 1,1
1 83 	
2 89 	
3 78 	
4 84 	
5 123	
6 122	
7 52	
8 103	
9 101	
10 51	
11 102	
12 117	
13 120	
14 52	
15 95	
16 110	
17 53	
18 112	
19 49	
20 49	
21 125

après traduction en ascii cela donne : 

SYNT{z4ge3fux4_n5p11}

Les flag de ce CTF, sont du style FLAG{flag}

après un petit rot13 dessus on a : 

FLAG{m4tr3shk4_a5c11}
Invitation

Invitation
873
Sherlock doesn't like going to parties. But this time an invitation came to him, which he could not refuse.

1581869373_nh1b51og.jpg

fichier : task_3e55f673c10d.pdf

Le PDF est un fichier avec des danseurs :

1581869621_16-02-2020--17_13_scrot.png

après une recherche de font, cypher sur des stickman je tombe sur le classique site dcode :

https://www.dcode.fr/chiffre-hommes-dansants

je traduit le début, la fin et je recherche dans google et je tombe sur un livre de Sherlock Holmes :


https://books.google.fr/books?id=wR-h8K … 22&f=false


je retrouve une version coplier collable :

https://en.wikisource.org/wiki/Page:The … k..djvu/29

je traduit le mot FLAG en dancing man , no go
je traduit flag en dancing man et bingo il est dans le fichier

après isolation je trouve que le flag est au milieu d'une phrase et le voila :

flagdiscoinSaratov

cela marche pas, je modifie le flag :

FLAG{disco_in_Saratov}
bilan

1581931680_17-02-2020--10_26_scrot.png

91eme sur 418

la suite des writes up des autres membres seront mis a dispo ici of course. Cthulhu Cthulhu

Merci à toute la team \o/

FlagOver.beer

Dernière modification par penthium2 (17-02-2020 11:28:39)

vi est mon ami pour la vie
Viperr
Ph'nglui nglw-nafh Cthulhu R'lyeh wgah-nagl fhtagn

Hors ligne

Pages : 1

Pied de page des forums

Propulsé par FluxBB