Viettel MatesCTF May Qualification – Forensics 200

Challenge name : Hidden

Download

The challenge gives us a memory dump. We use imageinfo to identify the operating system, hardware architecture, etc..

We can use psscan or pslist to list the processes of the system. The difference between psscan and pslist is psscan can detect the hidden or unlinked processes:

I tried to extract screenshots of the system but did not find anything interesting. Scanning connection and command prompt history gave the same result. Since the challenge state “Hidden”, I was focusing on dumping “exited” processes. If a process uses DKOM technique to fills in thread’s ExitTime, it will appear as exited even if it’s still running. After one hour digging for nothing, I came to this command:

Shellbags in Windows are very useful to a forensic investigator. In this case, it gave us what we want – hidden.exe, and one more thing : sysWOW64 – This directory only exists on Windows x64, but the memory dump is of a 32bit one.

We can find offset of hidden.exe in the memory by using filescan, then dump it with dumpfiles:

The binary uses DLL Injection technique to inject a DLL into a process :

I used dlllist to display a process’s loaded DLLs, and there was a DLL in sysWOW64 directory loaded into mspaint.exe process :

So far so good. I extracted the suspicious DLL :

Load it into IDA. I found the flag is generated in getkey function :

Flag : matesctf{go to another place}

What a nice challenge 🙂

Viettel MatesCTF – Vòng loại tháng 9

I. Nhận xét về đề thi

  • Đề không khó, ngoại trừ những bài không có đội nào giải ra.
  • Ra đề mà không có người giải được là thất bại của người ra đề.
  • Không có Cryptography.
  • Programming 200 điểm là quá nhiều. Nếu so với bài Misc 150 điểm Xếp hình thì bài Programming này chỉ xứng đáng được 100 điểm -_-

Continue reading “Viettel MatesCTF – Vòng loại tháng 9”

Honeynet Forensics Challenge 1 – Pcap attack trace

Honeynet là một dự án nghiên cứu về an toàn thông tin, nói rõ hơn là chuyên nghiên cứu về các phương pháp tấn công trên mạng Internet và phát triển các công cụ mã nguồn mở để nâng cao khả năng phòng chống các cuộc tấn công này. Dự án Honeynet cũng cung cấp một loạt các thử thách về điều tra truy vết từ năm 2010 cho các cá nhân nghiên cứu về bảo mật, an toàn thông tin. Mình bắt đầu giải các thử thách này vào giữa năm 2014, tuy nhiên vì nhiều lý do nên chưa thể hoàn thành hết được. Đợt hè này thảnh thơi nên mình quyết định giải lại từ đầu, sẵn có blog thì chia sẻ luôn. (Các thử thách này hiện nay đều đã có đáp án, các bạn có thể tham khảo)

Continue reading “Honeynet Forensics Challenge 1 – Pcap attack trace”