Fincybersec2020 Meow Meow Analyst Write Up
สวัสดีครับ ผมชื่อตี๋ วันนี้จะมาเขียน Write Up หมวด OS/SYSTEM/NETWORK ข้อ Meow Meow Analyst จากงาน Fincybersec2020 ครับ
จากโจทย์
ฝ่าย IT และ Network ของบริษัทหลักทรัพย์ในตำนาน จำกัด(มหาชน) ต้องการรับสมัครพนักงานตำแหน่ง IT Security Analyst ซึ่งคุณมาสมัครงานต้องผ่านการทดสอบเบื้องต้นของทางบริษัทเพื่อให้ผ่านการทดสอบ ซึ่งโจทย์ที่ใช้ในการทดสอบคือไฟล์ pcapng
ไฟล์ที่โหลดมาเป็นไฟล์ pcapng ซึ่งเป็นไฟล์ที่สามารถเปิดด้วยโปรแกรม wireshark เรานำมันมาเข้า Linux รันคำสั่ง
tcpflow -r fcs06_infected.pcapng
จะพบกับไฟล์ที่ถูกแตกออกมามากมาย
เมื่อลองเปิดดูไฟล์จะสังเกตว่าบางไฟล์มีส่วนของไฟล์ภาพ บางไฟล์เป็น logs แต่เมื่อสังเกตดีๆจะพบกับคำสั่ง certutil -encode และคำสั่ง type ซึ่งเป็นคำสั่งเข้ารหัสและแสดงผลข้อมูล
มีทั้งของไฟล์ Persia.zip และ Secret.png
เรานำมันกลับมาสร้างเป็นไฟล์ Persia.txt และ secret.txt และรันคำสั่ง decode
certutil -decode Persia.txt Persia.zip
certutil -decode secret.txt secret.png
เราจะได้ไฟล์ Persia.zip และ secret.png มาซึ่งไฟล์ Persia.zip นั้นติดล๊อครหัสผ่าน ส่วนไฟล์ secret.png เป็นภาพแมว ซึ่งมีลิงค์ Instragram อยู่ในภาพ
เมื่อเราเข้าไปตาม Instragram จะพบกับภาพแมวหลายภาพซึ่งมีข้อความอยู่
เมื่อเราลองนำข้อความแต่ละอันมาลองใส่ในไฟล์ Zip ก็พบว่าสามารถเปิดไฟล์ Zip ได้แล้วก็เจอ Flag