ISITDTU CTF QUALS 2024

## Home sweet home (OSINT) ![Screenshot 2024-10-27 172129](https://hackmd.io/_uploads/HkuO4cie1x.png) --- Bài cho mình username **arlen.nnnnnnnn** và việc của chúng ta là tìm ra địa chỉ nhà của Arlen, tìm trên các mạng xã hội, mình có được tài khoản ở Instagram: ![image](https://hackmd.io/_uploads/ry82E5jgJg.png) Xem các ảnh và đọc cap, mình nhận ra được một số thông tin sau: ![image](https://hackmd.io/_uploads/ByeUH9je1l.png) ![image](https://hackmd.io/_uploads/H15trcsl1g.png) Từ 2 ảnh trên có thể thấy được nhà của Arlen cách tòa nhà cổ kia 20 phút đi xe đạp và nhà của anh ấy cạnh một cửa hàng thú cưng. Mình bắt đầu tìm địa điểm tòa nhà cổ kia trước, có được địa điểm là **3819 Av. Calixa-Lavallée, Montréal, QC H2L 3A7, Canada**: ![image](https://hackmd.io/_uploads/HkC8D5jeyx.png) Sau đó, mình tìm các cửa hàng quanh khu vực đó với từ khóa **pet store in montreal**, có được danh sách các cửa hàng thú cưng gần đó: ![image](https://hackmd.io/_uploads/r1Th_9ogye.png) Mình tiếp tục đối chiếu với dữ kiện thứ 2 mà author cho (I had to bike for 20 minutes to get here), thử từng cửa hàng và đối chiếu trên map với chế độ xe đạp, mình có được: ![image](https://hackmd.io/_uploads/SycOF5sg1x.png) Dễ thấy được cửa hàng **Magazoo The Universe Of Reptiles** có thời gian đi xe đạp đến tòa nhà cổ là gần với tác giả cho nhất, xem ở chế độ street view mình xác định được tọa độ nhà của Arlen: ![image](https://hackmd.io/_uploads/BkEjq5oxJg.png) > Flag: ISITDTU{45.547, -73.602} --- ## CPUsage (FORENSICS) ![image](https://hackmd.io/_uploads/SyH8jcox1l.png) --- Bài cho mình 1 file **win10.raw**, yêu cầu là thu thập các thông tin trả lời câu hỏi để nối lại thành flag. > **Q1- What is the name of the malicious process, full path of the process, parent process id?** Mình dùng volatility phân tích file: ```bash python3 vol.py -f win10.raw windows.pslist.PsList ``` ![image](https://hackmd.io/_uploads/HJ_3T5il1l.png) Ta có thể thấy tiến trình có tên dlIhost.exe với PID là 2220 và PPID là 264. Tiến trình này có vẻ bất thường, vì tên chuẩn phải là dllhost.exe, một tiến trình hệ thống hợp lệ của Windows. - > dllhost.exe là một tiến trình hệ thống của Windows, có tên đầy đủ là COM Surrogate. Tiến trình này chịu trách nhiệm chạy các đối tượng COM (Component Object Model), chủ yếu là những đối tượng hoặc thư viện DLL (Dynamic Link Library). Ta có được processName: **dlIhost.exe** . Tiếp tục tìm kiếm FullPath của process, mình dùng plugin **filescan** của Volatility để tìm kiếm path liên quan đến tiến trình dlIhost.exe: ```bash python3 vol.py -f win10.raw windows.filescan.FileScan | grep dlIhost.exe ``` Có được fullpath: ![image](https://hackmd.io/_uploads/SJQHmjiekg.png) FullPath: **C:\Users\m4shl3\AppData\Roaming\DLL\dlIhost.exe** > Q2- what is the ip that process communicate with, family name of the malware? Tiếp tục với ID và ip, mình dùng plugin **netscan**, có được: ![image](https://hackmd.io/_uploads/BJJrIsjeyg.png) Có thể thấy tiến trình dlIhost.exe (PID: 2220) đã mở một kết nối TCP tới IP 45.77.240.51 trên cổng 6198 và ID của tiến trình cha (Parent Process ID) là 264. Ta có ip: **45.77.240.51**, id: **264**. Cuối cùng với FamilyName, mình dump file dlIhost.exe đó ra và cho lên virustotal, có được: ```bash python3 vol.py -f win10.raw windows.dumpfiles --virtaddr 0xb50e422b9b20 ``` ![Screenshot 2024-10-27 184540](https://hackmd.io/_uploads/BJDfuoigJe.png) FamilyName: **harharminer** Tổng hợp các dữ kiện lại và ta có flag hoàn chỉnh: > Flag: ISITDTU{dlIhost.exe-C:\Users\m4shl3\AppData\Roaming\DLL\dlIhost.exe-264_45.77.240.51-harharminer}