Hallo Habr.
Am 7. und 9. Februar 2019 fand die Qualifikationsphase des Wettbewerbs auf dem Gelände von Cybertalents statt. Ziel ist die Suche nach Cyber-Talenten für Oman und Saudi-Arabien. Personen aus anderen Ländern nehmen gemäß den Regeln der Veranstaltung außerhalb des Wettbewerbs teil. Unter Katzenanalyse bestimmter Aufgaben.
Der Wettbewerb besteht aus 9 Aufgaben, von denen vier den Schwierigkeitsgrad „leicht“ haben, vier „mittel“ und eine „schwer“. Für jede Aufgabe werden 50, 100 bzw. 200 Punkte vergeben. Aufgaben werden ebenfalls kategorisiert. Nachfolgend finden Sie eine Lösung für einige Probleme.
Zurück zu den Grundlagen
Einfache Webanalyse
nicht so ziemlich viele Möglichkeiten. Sie müssen keinen Link über einen Browser öffnen, es gibt immer einen anderen Weg
Gegeben ein Link wie example.com/somepage. Wenn Sie darauf klicken, werden wir mit einem Schrägstrich am Ende auf dieselbe Seite weitergeleitet (301 dauerhaft verschoben), und sie leitet ihrerseits zu google.com weiter:
Versuchen wir die POST-Anfrage auf der zweiten Seite:
var _0x7f88=["","join","reverse","split","log","ceab068d9522dc567177de8009f323b2"];function reverse(_0xa6e5x2){flag= _0xa6e5x2[_0x7f88[3]](_0x7f88[0])[_0x7f88[2]]()[_0x7f88[1]](_0x7f88[0])}console[_0x7f88[4]]= reverse;console[_0x7f88[4]](_0x7f88[5])
Übergeben Sie den Code vorsichtig durch JS verschönern:
function reverse(_0xa6e5x2) { flag = _0xa6e5x2['split']('')['reverse']()['join']('') } console['log'] = reverse; console['log']('ceab068d9522dc567177de8009f323b2')
Flag:
2b323f9008ed771765cd2259d860baecIch liebe Bilder
Einfache, digitale Forensik
Ein Hacker hat uns etwas hinterlassen, mit dem wir ihn in diesem Bild verfolgen können. Können Sie es finden?
Das Bild ist der Aufgabe beigefügt:
BildlinkLösungÖffnen Sie im Hex-Editor. Beachten Sie, dass das
PNG- Format
einen IEND-Trailer hat (49 45 4E 44). Wir schauen uns das Ende an:
Es wird beobachtet, dass am Ende der Datei zusätzliche Informationen hinzugefügt werden. Die erste Annahme ist base32, weil alle Buchstaben in einem Fall. Entschlüsseln:
FLAG{Not_Only_Base64} Ich liebe diesen Kerl
Medium, Malware Reverse Engineering
Können Sie das Passwort finden, um die Flagge zu erhalten?
Dan-
DateiLösungÜberspringen Sie die Datei durch Detect It Easy:
Öffnen Sie DNSpy x86
Die Datei ist wirklich sehr klein und besteht aus einem Benutzerereignis - Button_Click:
string value = new string(new char[] { this.Letters[5], this.Letters[14], this.Letters[13], this.Letters[25], this.Letters[24] }); if (this.TextBox1.Text.Equals(value)) { MessageBox.Show(new string(new char[] { this.Letters[5], this.Letters[11], this.Letters[0], this.Letters[6], this.Letters[26], this.Letters[8], this.Letters[28], this.Letters[11], this.Letters[14], this.Letters[21], this.Letters[4], this.Letters[28], this.Letters[5], this.Letters[14], this.Letters[13], this.Letters[25], this.Letters[24], this.Letters[27] })); }
Außerdem wird die Zeichenfolge in der aktuellen Klasse deklariert:
public char[] Letters = "ABCDEFGHIJKLMNOPQRSTUVWXYZ{}_".ToCharArray();
Es gibt zwei Lösungen - in Statik und Dynamik. Zunächst lösen wir mit der statischen Methode:
Wenn wir sicherstellen, dass das Programm nicht schädlich ist, können wir es in der Dynamik debuggen. Wir setzen den Haltepunkt (Haltepunkt, Haltepunkt) an den Anfang der Methode, suchen in lokalen Variablen, erhalten die Wertvariable, woraufhin wir eine Nachricht mit einem Flag erhalten.
Flag:
FLAG{I_LOVE_FONZY} Nur eine weitere Konferenz
Einfache, allgemeine Informationen
Die berühmte Cybersecurity-Konferenz wird von OWASP an verschiedenen Orten durchgeführt