Writeup ICS2C 2018 Al Fatih [PDF]

Citation preview

Write Up Internet and Cyber Security Competition (ICS2C) AL - FATIH



Daftar Isi Crypto .................................................................................................................................. 3 crypto – classic (100 pts) ................................................................................................ 3 crypto – campur sari (100 pts) ........................................................................................ 4 crypto – s0r (150 pts) ...................................................................................................... 5 Network................................................................................................................................ 6 n e t w o r k 1 – s c a n n i n g ( 1 0 0 p t s ) ........................................................................ 6 n e t w o r k 2 – r e c o n n a i s s a n c e ( 1 0 0 p t s ) .......................................................... 7 network 3 – sniffing ( 150 pts ) ....................................................................................... 9 network 4 – obfu ( 250 pts ) .......................................................................................... 11 n e t w o r k 5 – h a c k i n g ( 5 0 0 p t s ) ......................................................................... 12 WEB ................................................................................................................................... 16 w e b 1 - j s o n s t a t h a m P o i n t 1 0 0 ...................................................................... 16 w e b 2 - e a s y l o g i n ( 1 0 0 p t s ) ............................................................................. 19 web 3 - simple login (150 pts) ....................................................................................... 21 Forensic ............................................................................................................................. 23 forensic 2 - phising (150 pts) ........................................................................................ 25 forensic 3 - phising 2 (300 pts) ..................................................................................... 26 .................................................................................................................................... 27 Reverse .............................................................................................................................. 27 reverse easy (100 pts) ................................................................................................... 27 r e v e r s e - e a s y l a g i ( 1 0 0 p t s ) ............................................................................ 29



Crypto



crypto – classic (100 pts) diberikan soal



File decrypt berisi



Enkripsi memiliki ciri b64 lalu di decrypt



Terdapat enkripsi b64 kembali kita decrypt



Setelah di decrypt



Terlihat Enkripsi ROT13 lalu decrypt di website http://www.rot13.com/ didapatkan Flag CTF{r0t_13_c1pher_easy}



crypto – campur sari (100 pts) diberikan soal



Dan soal.txt berisi campuran antara binary dan hex yang mirip dengan SECCON CTF 2014



Dengan melakukan modifikasi dari algoritma acak cipher



Setelah file dijalankan didapatkan file CTF{h3x_b1n4ry_e4sy_crypt0}



crypto – s0r (150 pts)



Diberikan file cipher.txt IxVudEE3IEdBByBpTi8gRgsPZ25ZWyA6dAVURhNCaDE5J19TDh1mdDEmblMORWZ0DQdsZX0AAAA = Dan enc.py



Dengan melakukan perubahan Coding dan memasukan string enkripsi



Setelah file dieksekusi didapatkan flag CTF{sh1ft_Shift_unsh1ftable}



Network



n e tw or k 1 – s c a n ni ng ( 1 0 0 pt s ) Karena soal adalah jenis pcap sehingga kami menggunakan tools wireshark untuk menganalisa soal tersebut, mencoba menganalisa kejadian 3 way hanshake pada file pcap tersebut dengan filter tcp.seq==1 && tcp.ack==1 && tcp.len==0 && tcp.window_size_scalefactor ge 0



Kemudian kami follow TCP stream



Ditemukan sebuah flag soalnya FLAG : CTF{n3tw0rk_4nal1SyS_N1inja}



n e tw or k 2 – r e c o n na i s s a nc e ( 1 0 0 pt s ) Reconnaissance jenis soal pcap, sehingga kami menggunakan tools wireshark untuk menganalisa soal tersebut, kami mencurigai jenis protocol DNS, sehingga kami memfilter menggunakan query dns.txt



Kemudian kami melakukan follow UDP strem karena file DNS umumnya adalah protocol UDP



Ditemukan sebuah file jenis Base32, kemudian kami melakukan decode



Ditemukan sebuah link menuju pastebin



Jenis format hashnya adalah base64 sehingga kami mencoba untuk mendecode, ternyata benar kami menemukan sebuah flag soal



FLAG : CFT{de_en_es_ti_ex_ti_re_co_rd



network 3 – sniffing (150pts)



Diberikan soal3.pcap namun dalam file pcap berisi sniffing lalu kami menganalisa file tersebut dengan aircrack-ng



Setelah di Analisa dengan air crack-ng didapatkan KEY 61:61:62:62:78



Lalu kami mencoba mendecrypt file denga air decap-ng menggunakan KEY yang didapat sebelumnya



Didapatkan file pcap yang sudah di decrypt lalu buka dengan wireshark dan terdapat string flag CTF{wep_attack_so_easy}



network 4 – obfu (250pts)



Diberikan soal4.pcapng yang berisi packet dengan Protocol ICMP terdapat obfuscate java script yang terpisah



Kami melakukan coding untuk menyatukan packet yang berisi obfuscate java script dengan menggunakan parameter ICMP



Setelah program dieksekusi kami menggunakan syntax strings untuk melihat js



Dengan menggunakan website https://mindedsecurity.github.io/jstillery/ kami dengan mudah men deobfuscate js dan di dapatkan string flag CTF{j4v4_Scr1pt_0BfusC4tion_3easy}



n e tw or k 5 – h a c k i n g ( 5 0 0 p t s ) Jenis file soal pcapng, kami menganalisa soal tersebut menggunakan tools wireshark, kami mencoba menganalisa mengunakkan filter ftp



Kami mencoba melakukan follow tcp stream



Kami mencurigai file jenis DET ini, DET adalah bukti konsep untuk melakukan Exfiltrasi Data menggunakan satu atau beberapa saluran sekaligus. Sumber github (https://github.com/sensepost/DET)



Ditemukan sebuah aes keynya



Kami mencoba menganalisa mesage yang ditampilkan pada clue diatas , kemudian kami menganalisa dengan filter UDP



Ambil follow udp strem dengan lenght yang paling besar .



Kami mencurigai file hex tersebut kemudian kami decode ke plaint text, hasil decode message f6a9072ba42dfed30148e1f658372feb320ce2a635d26930c2bde0a7151fab159c7553bc588b2d26081 9f66c8fdd32155e9a00d136aea538894ee23ce08ae83c kemudian kami memodifikasi algoritma hasil download di https://github.com/sensepost/DET , untuk melalukkan decrypt, berikut hasil modifikasinya



Kami measukkan pesan message udp yang sudah di decode dan memasukkan aes keynya, setelah kami compile, kami menemukkan flagnya



FLAG : CTF{udP_D4t4_eXf1ltration_easy}



WEB



w e b 1 - j s o n s t a t ha m P oi nt 1 0 0 target : http://web1.ics2c.id



Kami menganalisa soal tersebut menggunakan tools brup suite community edition, kami mencoba melakukan register pada web http://web1.ics2c.id, agar bisa menganalisa administrator



Kemudian kami mencoba untuk login system



Kami mencurigai autkey yang ditampilkan oleh bruipsuite, kami mencoba mendecode jenis file base64 tersebut



Kemudian kami melakukan modifikasi hasil decode algoritmanya menjadi : {"alg":"None","typ":"JWS"} {"login":"admin","iat":"1519559739"} Kemudian kami lakukkan encode lagi hasil dari modifikasi algoritma menjadi none



Kami lakukkan encode lagi



Kemudian hasil dari encode tersebut kami masukkan ke burpsuite untuk dilakukkan forward, alihkan proxy ke send repeater ganti auth key hasil modifikasi dan encode tersebut



Ditemukan sebuah flag soal. FLAG : CTF{_js0n_w3b_T0ken_m4h_g4mp4ng}



w e b 2 - e a s y l og i n ( 1 0 0 pt s ) target : http://web2.ics2c.id



kami mencoba menganalisa source code web tersebut



Kami mencoba login ke sistem dengan melakukan login menggunakan username dan password acak Misal user dani dan password admin



Kami mencurigai hasil snif brupsuite, kami mencoba menambahkan array parameter di pass Menjadi user=dani&pass[]=dani , kemudian kami lakukkan forward . system meredirect kami langsung ke sebuah halaman baru



Disitu ditemukan sebuah clue bahwa flag berada di folder opt/flag , sehinggan kami menggunakan simbolic link, dengan mengarah ke folder /opt/flag jenis zip kemudian kami upload ke halaman tersebut, Kemudian halaman meredirectkami ke flag



FLAG : CTF{es_te_er_ce_em_pe_ye_byp4ss}



web 3 - simple login (150 pts)



Diberikan soal website



Dengan melihat page source terdapat clue credential test:test



Kami menggunakan burpsuite untuk meng intercept dan melihat analisis vulnerable cookies.



Dengan menggunakan sqlmap dapat melihat database pada server terdapat information_schema dan web3



Kami mencoba untuk dump database web3 dengan syntax pada sqlmap terdapat string flag CTF{ahaii_ini_bukan_flag_ya} namun ketika di submit salah sehingga kam



Setelah melanjutkan pencarian menggunakan sqlmap terdapat username: admin dan password: Sup3rS3cretP4ssworD sehingga kami mencoba di website soal



Dan didapat kan flag CTF{34sy_es_qi_el_1njection}



Forensic forensic 1 – file file file (100 pts)



Diberikan soal flag tanpa ekstensi sehingga kami menggunakan string file untuk melihat signature file tersebut dan didapatkan file tersebut merupakan compressed data sehingga kami menggunakan binwalk untuk mengekstrak filenya .



Didapatkan file 0 yang juga merupakan compressed data kami menggunakan binwalk lagi.



Didapatkan file 0 kembali kami mencoba lagi menggunakan binwalk dan didapatkan file soal.mp3 namun tidak support mp3 sehingga kami menganalisa soal.mp3 yang merupakan data.



Kami menganalisis file soal dengan menggunakan Firmware Modification Toolkit setelah di eksekusi didapatkan string flag CTF{b4s1c_f1rmw4re_4n4lisys}



forensic 2 - phising (150 pts) Kami melihat jenis file dan analisa evidencenya



Kami mencurigai email dari [email protected], kemudian kami mengecek hash dari email tersebut Bentuk flagnya adalah MD5



FLAG : CTF { 6118411a7632e77702ecf50abd245ed6}



forensic 3 - phising 2 (300 pts) Soal ini adalah lanjutan daro soal forensik 2 , pertama tama kami menganalisa file tersebut dengan menscannya menggunakan volatility



Kami mencoba membuka file dari analisa tersebut



Ditemukan sebuah file mencurigakan yaitu file.None , lalu kami mendecrypt file tersebut ke md5sum Ditemukan sebuah flag berbentuk MD5



FLAG : CTF{ eyJhbGciOiJOb25lIiwidHlwIjoiSldTIn0=}



Reverse reverse easy (100 pts) Pada soal ini berbentuk dotnet, sehingga kami menggunakan tools dnspy untuk merevese code yang ada dalam file exe tersebut. Buka cracknet.exe pada software dnspy untuk mererse, masuk menu Program dibagian Main Program.



Pada baris kode ke 21 ada hint flag jenis Aes hal tersebut menimbulkan kecurigaan kami bahwa file tersebut adalah flag dari soal.



Kami mencoba menganalisa kode program sehingga kami menaruh kode tersebut duluar kondisional code, sehingga baris kode menjadi seperti dibawah ini



Kami melakukan compile program ulang, kemudian kami mencoba menjalankan programnya, ternyata dugaan kami benar bahwa DecryptStringAES adalah flag dari soal tersebut



FLAG : CTF{d0t_net_r3verse_so_3asy}



r e v e r s e - e a s y l a gi ( 1 0 0 pt s ) Kami mencurigai file ini adalah jenis memory, sehingga kami menggunakan tools IDA Pro, untuk menganalisa soal tersebut, kami mencoba analisa kode yang ada dalam file tersebut



Sehingga kami akan melakukan decompile pada program utama



Kami mencurigai baris kode ini, sehingga kami mencoba menyusun String yang dipanggil untuk di outputkan program.



Kami menemukkan sebuah flag pada soal ini yaitu CTF{bU4h_b41k_utk_k3seh4t4n__}



FLAG : CTF{bU4h_b41k_utk_k3seh4t4n__}