7 0 2 MB
Write Up Internet and Cyber Security Competition (ICS2C) AL - FATIH
Daftar Isi Crypto .................................................................................................................................. 3 crypto – classic (100 pts) ................................................................................................ 3 crypto – campur sari (100 pts) ........................................................................................ 4 crypto – s0r (150 pts) ...................................................................................................... 5 Network................................................................................................................................ 6 n e t w o r k 1 – s c a n n i n g ( 1 0 0 p t s ) ........................................................................ 6 n e t w o r k 2 – r e c o n n a i s s a n c e ( 1 0 0 p t s ) .......................................................... 7 network 3 – sniffing ( 150 pts ) ....................................................................................... 9 network 4 – obfu ( 250 pts ) .......................................................................................... 11 n e t w o r k 5 – h a c k i n g ( 5 0 0 p t s ) ......................................................................... 12 WEB ................................................................................................................................... 16 w e b 1 - j s o n s t a t h a m P o i n t 1 0 0 ...................................................................... 16 w e b 2 - e a s y l o g i n ( 1 0 0 p t s ) ............................................................................. 19 web 3 - simple login (150 pts) ....................................................................................... 21 Forensic ............................................................................................................................. 23 forensic 2 - phising (150 pts) ........................................................................................ 25 forensic 3 - phising 2 (300 pts) ..................................................................................... 26 .................................................................................................................................... 27 Reverse .............................................................................................................................. 27 reverse easy (100 pts) ................................................................................................... 27 r e v e r s e - e a s y l a g i ( 1 0 0 p t s ) ............................................................................ 29
Crypto
crypto – classic (100 pts) diberikan soal
File decrypt berisi
Enkripsi memiliki ciri b64 lalu di decrypt
Terdapat enkripsi b64 kembali kita decrypt
Setelah di decrypt
Terlihat Enkripsi ROT13 lalu decrypt di website http://www.rot13.com/ didapatkan Flag CTF{r0t_13_c1pher_easy}
crypto – campur sari (100 pts) diberikan soal
Dan soal.txt berisi campuran antara binary dan hex yang mirip dengan SECCON CTF 2014
Dengan melakukan modifikasi dari algoritma acak cipher
Setelah file dijalankan didapatkan file CTF{h3x_b1n4ry_e4sy_crypt0}
crypto – s0r (150 pts)
Diberikan file cipher.txt IxVudEE3IEdBByBpTi8gRgsPZ25ZWyA6dAVURhNCaDE5J19TDh1mdDEmblMORWZ0DQdsZX0AAAA = Dan enc.py
Dengan melakukan perubahan Coding dan memasukan string enkripsi
Setelah file dieksekusi didapatkan flag CTF{sh1ft_Shift_unsh1ftable}
Network
n e tw or k 1 – s c a n ni ng ( 1 0 0 pt s ) Karena soal adalah jenis pcap sehingga kami menggunakan tools wireshark untuk menganalisa soal tersebut, mencoba menganalisa kejadian 3 way hanshake pada file pcap tersebut dengan filter tcp.seq==1 && tcp.ack==1 && tcp.len==0 && tcp.window_size_scalefactor ge 0
Kemudian kami follow TCP stream
Ditemukan sebuah flag soalnya FLAG : CTF{n3tw0rk_4nal1SyS_N1inja}
n e tw or k 2 – r e c o n na i s s a nc e ( 1 0 0 pt s ) Reconnaissance jenis soal pcap, sehingga kami menggunakan tools wireshark untuk menganalisa soal tersebut, kami mencurigai jenis protocol DNS, sehingga kami memfilter menggunakan query dns.txt
Kemudian kami melakukan follow UDP strem karena file DNS umumnya adalah protocol UDP
Ditemukan sebuah file jenis Base32, kemudian kami melakukan decode
Ditemukan sebuah link menuju pastebin
Jenis format hashnya adalah base64 sehingga kami mencoba untuk mendecode, ternyata benar kami menemukan sebuah flag soal
FLAG : CFT{de_en_es_ti_ex_ti_re_co_rd
network 3 – sniffing (150pts)
Diberikan soal3.pcap namun dalam file pcap berisi sniffing lalu kami menganalisa file tersebut dengan aircrack-ng
Setelah di Analisa dengan air crack-ng didapatkan KEY 61:61:62:62:78
Lalu kami mencoba mendecrypt file denga air decap-ng menggunakan KEY yang didapat sebelumnya
Didapatkan file pcap yang sudah di decrypt lalu buka dengan wireshark dan terdapat string flag CTF{wep_attack_so_easy}
network 4 – obfu (250pts)
Diberikan soal4.pcapng yang berisi packet dengan Protocol ICMP terdapat obfuscate java script yang terpisah
Kami melakukan coding untuk menyatukan packet yang berisi obfuscate java script dengan menggunakan parameter ICMP
Setelah program dieksekusi kami menggunakan syntax strings untuk melihat js
Dengan menggunakan website https://mindedsecurity.github.io/jstillery/ kami dengan mudah men deobfuscate js dan di dapatkan string flag CTF{j4v4_Scr1pt_0BfusC4tion_3easy}
n e tw or k 5 – h a c k i n g ( 5 0 0 p t s ) Jenis file soal pcapng, kami menganalisa soal tersebut menggunakan tools wireshark, kami mencoba menganalisa mengunakkan filter ftp
Kami mencoba melakukan follow tcp stream
Kami mencurigai file jenis DET ini, DET adalah bukti konsep untuk melakukan Exfiltrasi Data menggunakan satu atau beberapa saluran sekaligus. Sumber github (https://github.com/sensepost/DET)
Ditemukan sebuah aes keynya
Kami mencoba menganalisa mesage yang ditampilkan pada clue diatas , kemudian kami menganalisa dengan filter UDP
Ambil follow udp strem dengan lenght yang paling besar .
Kami mencurigai file hex tersebut kemudian kami decode ke plaint text, hasil decode message f6a9072ba42dfed30148e1f658372feb320ce2a635d26930c2bde0a7151fab159c7553bc588b2d26081 9f66c8fdd32155e9a00d136aea538894ee23ce08ae83c kemudian kami memodifikasi algoritma hasil download di https://github.com/sensepost/DET , untuk melalukkan decrypt, berikut hasil modifikasinya
Kami measukkan pesan message udp yang sudah di decode dan memasukkan aes keynya, setelah kami compile, kami menemukkan flagnya
FLAG : CTF{udP_D4t4_eXf1ltration_easy}
WEB
w e b 1 - j s o n s t a t ha m P oi nt 1 0 0 target : http://web1.ics2c.id
Kami menganalisa soal tersebut menggunakan tools brup suite community edition, kami mencoba melakukan register pada web http://web1.ics2c.id, agar bisa menganalisa administrator
Kemudian kami mencoba untuk login system
Kami mencurigai autkey yang ditampilkan oleh bruipsuite, kami mencoba mendecode jenis file base64 tersebut
Kemudian kami melakukan modifikasi hasil decode algoritmanya menjadi : {"alg":"None","typ":"JWS"} {"login":"admin","iat":"1519559739"} Kemudian kami lakukkan encode lagi hasil dari modifikasi algoritma menjadi none
Kami lakukkan encode lagi
Kemudian hasil dari encode tersebut kami masukkan ke burpsuite untuk dilakukkan forward, alihkan proxy ke send repeater ganti auth key hasil modifikasi dan encode tersebut
Ditemukan sebuah flag soal. FLAG : CTF{_js0n_w3b_T0ken_m4h_g4mp4ng}
w e b 2 - e a s y l og i n ( 1 0 0 pt s ) target : http://web2.ics2c.id
kami mencoba menganalisa source code web tersebut
Kami mencoba login ke sistem dengan melakukan login menggunakan username dan password acak Misal user dani dan password admin
Kami mencurigai hasil snif brupsuite, kami mencoba menambahkan array parameter di pass Menjadi user=dani&pass[]=dani , kemudian kami lakukkan forward . system meredirect kami langsung ke sebuah halaman baru
Disitu ditemukan sebuah clue bahwa flag berada di folder opt/flag , sehinggan kami menggunakan simbolic link, dengan mengarah ke folder /opt/flag jenis zip kemudian kami upload ke halaman tersebut, Kemudian halaman meredirectkami ke flag
FLAG : CTF{es_te_er_ce_em_pe_ye_byp4ss}
web 3 - simple login (150 pts)
Diberikan soal website
Dengan melihat page source terdapat clue credential test:test
Kami menggunakan burpsuite untuk meng intercept dan melihat analisis vulnerable cookies.
Dengan menggunakan sqlmap dapat melihat database pada server terdapat information_schema dan web3
Kami mencoba untuk dump database web3 dengan syntax pada sqlmap terdapat string flag CTF{ahaii_ini_bukan_flag_ya} namun ketika di submit salah sehingga kam
Setelah melanjutkan pencarian menggunakan sqlmap terdapat username: admin dan password: Sup3rS3cretP4ssworD sehingga kami mencoba di website soal
Dan didapat kan flag CTF{34sy_es_qi_el_1njection}
Forensic forensic 1 – file file file (100 pts)
Diberikan soal flag tanpa ekstensi sehingga kami menggunakan string file untuk melihat signature file tersebut dan didapatkan file tersebut merupakan compressed data sehingga kami menggunakan binwalk untuk mengekstrak filenya .
Didapatkan file 0 yang juga merupakan compressed data kami menggunakan binwalk lagi.
Didapatkan file 0 kembali kami mencoba lagi menggunakan binwalk dan didapatkan file soal.mp3 namun tidak support mp3 sehingga kami menganalisa soal.mp3 yang merupakan data.
Kami menganalisis file soal dengan menggunakan Firmware Modification Toolkit setelah di eksekusi didapatkan string flag CTF{b4s1c_f1rmw4re_4n4lisys}
forensic 2 - phising (150 pts) Kami melihat jenis file dan analisa evidencenya
Kami mencurigai email dari [email protected], kemudian kami mengecek hash dari email tersebut Bentuk flagnya adalah MD5
FLAG : CTF { 6118411a7632e77702ecf50abd245ed6}
forensic 3 - phising 2 (300 pts) Soal ini adalah lanjutan daro soal forensik 2 , pertama tama kami menganalisa file tersebut dengan menscannya menggunakan volatility
Kami mencoba membuka file dari analisa tersebut
Ditemukan sebuah file mencurigakan yaitu file.None , lalu kami mendecrypt file tersebut ke md5sum Ditemukan sebuah flag berbentuk MD5
FLAG : CTF{ eyJhbGciOiJOb25lIiwidHlwIjoiSldTIn0=}
Reverse reverse easy (100 pts) Pada soal ini berbentuk dotnet, sehingga kami menggunakan tools dnspy untuk merevese code yang ada dalam file exe tersebut. Buka cracknet.exe pada software dnspy untuk mererse, masuk menu Program dibagian Main Program.
Pada baris kode ke 21 ada hint flag jenis Aes hal tersebut menimbulkan kecurigaan kami bahwa file tersebut adalah flag dari soal.
Kami mencoba menganalisa kode program sehingga kami menaruh kode tersebut duluar kondisional code, sehingga baris kode menjadi seperti dibawah ini
Kami melakukan compile program ulang, kemudian kami mencoba menjalankan programnya, ternyata dugaan kami benar bahwa DecryptStringAES adalah flag dari soal tersebut
FLAG : CTF{d0t_net_r3verse_so_3asy}
r e v e r s e - e a s y l a gi ( 1 0 0 pt s ) Kami mencurigai file ini adalah jenis memory, sehingga kami menggunakan tools IDA Pro, untuk menganalisa soal tersebut, kami mencoba analisa kode yang ada dalam file tersebut
Sehingga kami akan melakukan decompile pada program utama
Kami mencurigai baris kode ini, sehingga kami mencoba menyusun String yang dipanggil untuk di outputkan program.
Kami menemukkan sebuah flag pada soal ini yaitu CTF{bU4h_b41k_utk_k3seh4t4n__}
FLAG : CTF{bU4h_b41k_utk_k3seh4t4n__}