|    |    |    | Today: 22-Sep-2017 |

[Write Up] CTF Techphoria 2016 – Part 1

September 13, 2016 | Posted in How to

Logo TECHPHORIA

Sekilas tentang TECHPHORIA


APA ITU TECHPHORIA?

Technology Euphoria diselenggarakan oleh seluruh Keluarga Mahasiswa Fakultas Ilmu Komputer Universitas Sriwijaya. Technology Euphoria atau yang disingkat dengan nama Techphoria adalah serangkaian acara IT tahunan dengan kompetisi sebagai ajang edukasi bagi Universitas/Politeknik se-Indonesia.

Capture The Flag Techphoria
Salah satunya adalah kompetisi Capture the Flag, sebuah games hacking yang mana peserta di tantang pengetahuan dan kemahirannya untuk menemukan dan mengeksplorasi vulnerability dalam berbagai kategori, seperti web hacking, forensic, reversing,cryptography dll. Namun hanya diperuntukkan bagi Mahasiswa Perguruan Tinggi Negeri atau Swasta di Indonesia.
Halaman utama CTF TECHPHORIA




No Hint ! (75pts) - Forensic


download
Diberikan sebuah file pcap 02-NoHint_fac6b03fee0bcb5492ebdece1f40c74a.pcap yang banyak sekali capture data koneksi TCP nya.
Clue TCP
Pada salah satu paket capture data TCP tersebut sedang mengakses direktori /DCIM dengan cara "Follow TCP Stream" untuk melihat TCP stream datanya.
Transaksi Data
Follow TCP Stream
Teringat akan salah satu teknik forensic tcpflow, sebuah program yang menangkap data yang ditransmisikan sebagai bagian dari koneksi TCP.
Selanjutnya mengekstrak data TCP tersebut dengan perintah tcpflow -r namafile -o direktori_output
@:~/TECHPHORIA/No Hint ! (Forensic) $ tcpflow -r 02-NoHint_fac6b03fee0bcb5492ebdece1f40c74a.pcap -o output
@:~/TECHPHORIA/No Hint ! (Forensic) $ ls
02-NoHint_fac6b03fee0bcb5492ebdece1f40c74a.pcap output/
@:~/TECHPHORIA/No Hint ! (Forensic) $

Setelah direktori output terbuat, maka dapat terlihat lah semua isi data dari paket TCP tersebut.

@:~/TECHPHORIA/No Hint ! (Forensic) $ file *
192.168.001.100.34074-192.168.001.101.02221: ASCII text, with CRLF line terminators
192.168.001.100.34080-192.168.001.101.02221: ASCII text, with CRLF line terminators
192.168.001.100.36446-192.168.001.101.02311: PDF document, version 1.4
192.168.001.100.39224-212.129.050.129.09001: data
192.168.001.101.02221-192.168.001.100.34074: ASCII text, with CRLF line terminators
192.168.001.101.02221-192.168.001.100.34080: ASCII text, with CRLF line terminators
192.168.001.101.02395-192.168.001.100.43558: ASCII text, with CRLF line terminators
192.168.001.101.02395-192.168.001.100.43564: ASCII text, with CRLF line terminators
212.129.050.129.09001-192.168.001.100.39224: data
report.xml: XML 1.0 document text

Dapat dilihat pada file 192.168.001.100.36446-192.168.001.101.02311 merupakan PDF document, version 1.4 dan setelah dibuka ada flagnya TECH2016{_hINdari_Begadang_massBrr0_}




Derau (100pts) - Kripto


download
Diberikan sebuah file 03_KRIPTO_e5e4c19c681f0e964939237490ed229b.tar.gz dan didalamnya ada sebuah file WAV dengan nama file03.wav.
Audacity
Pengecekan file WAV tersebut dilakukan dengan menggunakan Audacity untuk melihat tampilan spektrogram yang merupakan representasi visual dari spektrum frekuensi suara atau sinyal seperti mereka bervariasi dengan waktu atau beberapa variabel lainnya.
Spectogram
Dengan cara ini dapat terlihat pesan apa yang tersembunyi disana.
Zoom Out
FLAG
dan flagnya adalah TECH2016{_INDONESIA_MERDEKA_JAYA_RAYA_}




No No HInt !! (100pts) - Forensic


download
Diberikan sebuah file pcap 03_NoNoHint.pcap yang banyak sekali capture data USB Protocolnya.
USB Capture Protocols
Pada kasus ini digunakanlah binwalk untuk membaca apa saja yang ada didalam file .pcap tersebut.
binwalk
Dapat dilihat ternyata isi dari pcap tersebut sangatlah banyak, setelah di ekstrak otomatis menggunakan perintah binwalk -e menghasilkan sebuah direktori _03_NoNoHint.pcap.extracted/ yang berisikan banyak sekali berkas dan direktori didalamnya.
binwalk extract
Setelah melakukan pemeriksaan satu persatu, pada direktori word ditemukan adanya beberapa clue.
1. Pada berkas document.xml menandakan bahwa itu adalah bagian dari berkas Microsoft Office Word 2010
Microsoft Office Word 2010
2. Pada direktori media ditemukan sebuah gambar bernama image1.jpg
gambar anak
Buka dengan menggunakan Notepad++ atau Sublime yang digunakan untuk menemukan elemen yang menyebabkan masalah dokumen dan memformat isi XML tersebut.
NoNoHint - FLAG
Flagnya dapat terlihat disana, yaitu TECH2016{_DIRGAHAYU_REPUBLIK_INDONESIA_MERDEKAAA!!!}




to be continued ....
---

Dre

Taged in: techphoria, write