» » Business and black bookkeeping writeup

Business and black bookkeeping writeup

Райтап был написан тиммейтом Device.

Business and black bookkeeping


Компания MEGACORP (company.cyber-detective.hackit.ua) замешана в темных делишках. Посмотрим удастся ли разобраться в чем дело.


Step #1 (100pts)


Где они хранят всю важную информацию?


Flag Format: site.com

Hint! Иногда угадать проще, чем найти

Hint! Какие современные технологии используются для хранения файлов?



Итак заходим на сайт company.cyber-detective.hackit.ua и видим дефолтовый шаблон.

Business and black bookkeeping writeup

После различных манипуляций и танцев с бубном мы находим угадываем поддомен
cloud.company.cyber-detective.hackit.ua

Business and black bookkeeping writeup

Он и будет являться флагом

Step #2 (200pts)


В ходе негласных следственных действий была получена аудиозапись (https://goo.gl/dLougx) из офиса компании MEGACORP. Возможно она поможет узнать, где отдыхал директор.

Flag Format: London

Переходим по ссылке и качаем аудио
Там 2.5 часа различных песен. Слушаем и на 2х часах слышим разговор в котором кто то кому то напоминает логин и пароль director:Vladimir-1985

Business and black bookkeeping writeup

Далее авторизовываемся на облаке и видим список файлов

Business and black bookkeeping writeup

С лету пробуем засабмитить париж но это не верный флаг

В папке Holiday Photo видим разные фотографии. С помощью гугла (поиск по фото) сначала находим Алькатрас, пробуем засабмитить ну мало ли куда черная бухгалтерия директора привела. Опять мимо далее находим фото сан San Francisco и радуемся флаг подошел

Флаг San Francisco

Step #3 (400pts)



Мы получили доступ к корпоративному хранилищу, но там нет отчетов. Оперативникам удалось получить дамп памяти с ПК (https://goo.gl/6wALst), может там есть что-то полезное. Определите какая общая выручка компании?

Hint! Если одна программа не подходит нужно пробовать другую.
Hint! Появилась информация о расширении файла "Private Files" - .tc

Hint! Приложена контрольная сумма файлов сделанная с помощью Windows+7zip. Файлы ниже.


Возвращаемся на клауд и качаем .tc файл. Это файл truecrypt. Так же качаем дамп памяти где вероятнее всего лежат сессионные ключи от зашифрованного контейнера. По сообщения в чате ctf понимаем что нужно использовать утилиты для автоматизации всего процесса

Первое что приходит в голову это elcomsoft forensic disk decryptor, но он нам не помогает.
Далее пробуем различные питоновские скрипты для этого дела. Но и они результата не дают.

Под утро нагугливаем утилиту password recovery kit но она выдает ошибку. Первая мысль что с файлы побились но хеш совпадает потому пробуем различные версии password recovery kit и только версия 2017.1.1 нам помогла

    1) Выбираем full disc encryption

Business and black bookkeeping writeup

    2) Выбираем truecrypt

Business and black bookkeeping writeup

    3) Вводим дам памяти и truecrypt контейнер

Business and black bookkeeping writeup

Жмем next и ждем успешного окончания расшифровки.

Далее попытаемся монтировать контейнер. Но от нас хотят пароль.

К счастью при установки различного софта для расшифровки я подхватил утилиту которая сам вписалась в контекстное меню и предложила примонтировать.

Business and black bookkeeping writeup

Получаем лабиринт из около 200 тысяч папок. В одной из них exel файл

Business and black bookkeeping writeup

И видим выручку всего.
Далее меняем формат числа
И вбиваем флаг

Флаг 26,542,579,522.00скачать dle 10.5фильмы бесплатно

  • Автор: drakylar
  • Комментарии: 0
  • Просмотры: 43

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!