# 2024 GICS Write-up ###### tag: `CTF`、`GICS` ###### Author: `Bun_.` 這是2024 尋找資安女婕思 資訊闖天關的write-up 環境是[CDX](https://cdx.nchc.org.tw/)提供的課程靶機 ## 01_神秘解碼 揭開一封詐騙集團的神秘信件⭐⭐ (5000分) > 女婕思團隊收到了一封神秘的信件，來自詐騙集團的核心成員之一。信中充滿了看似晦澀難解的密碼和加密技術。他們意識到這封信件可能與詐騙集團的非法活動有關。 ```= Lcj kcxxm bcj aykkgl bg lmqrpy tgry kg pgrpmtyg ncp sly qcjty mqaspy afé jy bgpgrry tgy cpy qkyppgry. 89cc Elm uyerxs e hmv uyep ive è gswe hyve iwxe wipze wipzekkme i ewtve i jsvxi gli rip tirwmiv vmrsze pe teyve! j5h9 Bivb’è iuizi kpm xwkw è xqù uwzbm; ui xmz bzibbiz lmt jmv kp’q’ dq bzwdiq, lqzò lm t’itbzm kwam kp’q’ d’pw akwzbm. mnm9 Ye ded ie rud hytyh sec’y’ l’ydjhqy, jqdj’uhq fyud ty iedde q gkub fkdje sxu bq luhqsu lyq qrrqdtedqy. tv4t Ft ihb va’b’ ynb te ibè w’ng vheex zbngmh, eà whox mxkfbgtot jnxeet oteex vax f’toxt wb itnkt be vhk vhfingmh, zntkwtb bg temh, x obwb ex lnx liteex oxlmbmx zbà wx’ ktzzb wxe ibtgxmt vax fxgt wkbmmh temknb ixk hzgx vteex. 41x8 Nyybe sh yn cnhen ha cbpb dhrgn pur ary yntb qry pbe z’ren qhengn yn abggr pu’v’ cnffnv pba gnagn cvrgn. q060 H frph txhl fkh frq ohqd diidqqdwd xvflwr ixru gho shodjr d od ulyd vl yrojh d o’dftxd shuljolrvd h jxdwd, frvì o’dqlpr plr, fk’dqfru ixjjlyd, vl yrovh d uhwur d ulpludu or sdvvr fkh qrq odvflò jlà pdl shuvrqd ylyd. 4f8f Wvp jo’èp wvzhav bu wvjv ps jvywv shzzv, ypwylzp cph wly sh wphnnph kpzlyah, zì jol ’s wpè mlytv zltwyl lyh ’s wpù ihzzv. i19h ``` :::spoiler 提示1 (答對得分降為4000分) 神秘信件似乎經過凱撒密碼的文字加密位移，請留意每段使用的ROT可能不同。 ::: :::spoiler 提示2 (答對得分降為2500分) 根據可靠線報,詐騙集團使用但丁的神曲隱藏神秘訊息，請留意與本文無關字元。 ::: 看到密碼學先打開 [CyberChef](https://gchq.github.io/CyberChef/#recipe=ROT13(true,true,false,13)&oenc=65001&ieol=CRLF&oeol=CRLF) 但看起來像的都套用過一輪了，還是沒有頭緒 所以丟給chatgpt  [但丁神曲](http://dantelab.dartmouth.edu/reader?reader%5Bpanel_count%5D=4)是什麼啦，總之就... ```= Nel mezzo del cammin di nostra vita mi ritrovai per una selva oscura ché la diritta via era smarrita. 89ee # shift 28 Ahi quanto a dir qual era è cosa dura esta selva selvaggia e aspra e forte che nel pensier rinova la paura! f5d9 # shift 22 Tant’è amara che poco è più morte; ma per trattar del ben ch’i’ vi trovai, dirò de l’altre cose ch’i’ v’ho scorte. efe9 # shift 18 Io non so ben ridir com’i’ v’intrai, tant’era pien di sonno a quel punto che la verace via abbandonai. df4d # shift 10 Ma poi ch’i’ fui al piè d’un colle giunto, là dove terminava quella valle che m’avea di paura il cor compunto, # shift 7 guardai in alto, e vidi le sue spalle vestite già de’ raggi del pianeta che mena dritto altrui per ogne calle. 41e8 # shift 7 Allor fu la paura un poco queta che nel lago del cor m’era durata la notte ch’i’ passai con tanta pieta. d060 # shift 13 E come quei che con lena affannata uscito fuor del pelago a la riva si volge a l’acqua perigliosa e guata, # shift 23 così l’animo mio, ch’ancor fuggiva, si volse a retro a rimirar lo passo che non lasciò già mai persona viva. 4c8c # shift 23 Poi ch’èi posato un poco il corpo lasso, ripresi via per la piaggia diserta, sì che ’l piè fermo sempre era ’l più basso. b19a # shift 19 ``` 把每句最後的東西拼起來就是flag了 這題基本上不難，但若是沒有AI輔助會蠻花時間的 答案: `89eef5d9efe9df4d41e8d0604c8cb19a` 然後這東西看起來像是MD5 Hash但也不知道他實際內容是什麼哈哈 ## 02_零與一的密謀 探索詐騙集團檔案中隱藏的秘密⭐⭐ (5000分) > 女婕思團隊接下來的挑戰是分析詐騙集團被查扣電腦內的檔案，這些檔案可能包含了重要的線索和證據，需要運用資安技術來解密和分析這些檔案。團隊成員使用資安技術中的檔案分析工具和技術，嘗試讀取這些檔案中的蛛絲馬跡，以便進行後續的分析和處理。 :::spoiler 提示1 (答對得分降為4000分) 檔案標頭內藏有檔案格式資訊,用對應的應用程式(如File and libmagic for Windows)開啟，或許會有不錯的收穫! ::: :::spoiler 提示2 (答對得分降為2500分) 可嘗試運用Strings分析工具進行靜態分析。 ::: 這題的檔案拿到解壓縮之後: ```bash= ┌──(kali㉿kali)-[~/Desktop] └─$ file lv2-1 lv2-1: LHa (2.x) archive data [lh5], 'U' OS ``` 這個檔案是LHa (2.x)格式的壓縮檔案，使用lh5壓縮算法，標記為'U' OS。 ```bash= sudo apt-get install lhasa lha x lv2-1 ``` 得到一個檔案 `'src\bin\level2-01'` 再file一次 ```bash= ┌──(kali㉿kali)-[~/Desktop] └─$ file 'src\bin\level2-01' src\bin\level2-01: PE32 executable (console) Intel 80386 (stripped to external PDB), for MS Windows, 8 sections ``` > 您的命令結果顯示 src\bin\level2-01 是一個 Windows PE (Portable Executable) 可執行檔 -by chatgpt 然後我也碰巧strings了一下  發現有看起來像是strings的東西 看來要靜態分析了 用ida挖一下就看到  答案: `461e53adc5adf038cf8731f434be4606` ## 03_背後的真相 破解詐騙集團在影像檔案中的資訊⭐ (4500分) > 女婕思團隊面臨了一項新的挑戰：分析詐騙集團被查扣電腦中的照片，尋找可能的線索和證據。為了更深入地了解這些照片，團隊成員開始對這些照片進行深入分析。 :::spoiler 提示1 (答對得分降為3500分) 什麼是可交換圖檔格式呢? ::: :::spoiler 提示2 (答對得分降為2000分) 試著使用些EXIF檢視工具(如:exiftool、exifviewer),或許可找到相關的秘密! ::: 圖(非原圖，太大了傳不上來):  這題有點簡單，看內容就發現flag了  答案: `036e3e638e4985694733d5c3f2dd72c0` ## 04_鎖定目標 揭示出詐騙集團主機背後的祕密⭐ (4500分) > 女婕思團隊發現了詐騙集團的主機伺服器，這些主機不像表面上那麼容易被發現。它們隱藏了其背後的服務和功能防止隱藏資訊被發現。 :::spoiler 提示1 (答對得分降為3500分) 使用掃描工具探查通訊埠,尋找可存取的資訊。 ::: :::spoiler 提示2 (答對得分降為2000分) 網頁原始碼可能存在隱藏資訊。 ::: 有靶機ip那就先nmap ```bash= ┌──(root㉿kali)-[/] └─# nmap 10.99.179.56 Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-21 17:47 CST Nmap scan report for 10.99.179.56 Host is up (0.00023s latency). Not shown: 998 closed tcp ports (reset) PORT STATE SERVICE 80/tcp open http 8011/tcp open unknown MAC Address: 02:00:0A:63:B3:38 (Unknown) Nmap done: 1 IP address (1 host up) scanned in 0.18 seconds ``` 看起來沒料 只好開大招 ```bash= ┌──(root㉿kali)-[/] └─# sudo nmap -sS -sV -sC -A -p- -T4 -oA scan_results 10.99.179.56 Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-21 17:49 CST Nmap scan report for 10.99.179.56 Host is up (0.00017s latency). Not shown: 65531 closed tcp ports (reset) PORT STATE SERVICE VERSION 80/tcp open http Apache httpd |_http-server-header: Apache |_http-title: 403 Forbidden 8011/tcp open http Apache httpd 2.4.29 ((Ubuntu)) |_http-server-header: Apache/2.4.29 (Ubuntu) |_http-title: Site doesnt have a title (text/html). 8012/tcp open http Apache httpd 2.4.29 ((Ubuntu)) |_http-title: Bloodbank | home page | http-cookie-flags: | /: | PHPSESSID: |_ httponly flag not set |_http-server-header: Apache/2.4.29 (Ubuntu) 8889/tcp open http Apache httpd |_http-server-header: Apache |_http-title: Lv4 MAC Address: 02:00:0A:63:B3:38 (Unknown) ``` 8011、8012應該是因為這是練習用的靶機 把其他題目的東西放進來了 但是flag在8889  答案: `c739bbfe9fca5aab960e0608b94c3b6a ` ## 05_魅影入侵 利用漏洞深入詐騙集團的暗黑角落⭐⭐ (5000分) >女婕思團隊發現在詐騙集團網站中有個漏洞，這個漏洞允許攻擊者將惡意的腳本置入網頁中執行。請利用這個漏洞追蹤詐騙集團的成員，並獲取他們的訊息。 :::spoiler 提示1 (答對得分降為4000分) 對注入點發動XSS攻擊吧！ ::: :::spoiler 提示2 (答對得分降為2500分) 攻擊目的是取得cookie。 ::: 題目長這樣:  輸入什麼就回彈什麼，很明顯的XSS 那來釣個cookies好了`<script>alert(document.cookie)</script>`  蝦? 就這樣咩 好喔 答案`f1f62aa66026020a3d4a994ded9fc6c9` ## 06_網路跟蹤者 揭露詐騙集團的不可告人的網路秘辛⭐⭐ (5000分) >女婕思團隊深入調查詐騙集團的系統時，需要破解詐騙集團的網路通訊內容找到入侵的方式， 決定對詐騙集團的網路通訊進行深入解析。請從封包中找出隱藏的資訊。 :::spoiler 提示1 (答對得分降為4000分) 運用封包分析工具（如Wireshark）進行分析。 ::: :::spoiler 提示2 (答對得分降為2500分) 分析可疑的TCP封包，並留意會話（Conversation）方向和頻段（Stream），還原隱藏訊息。 ::: wireshark打開，有很多tcp封包，那就follow吧! 挖到一些東西 ```bash= [.z...b..] .[7m .[m.[28;1H.. ...[.b...G.[1;32mguest.[m .....s.b...G.[1;31mnew.[m .[0;37m.s..BBS.....A...... http://goo.gl/ycfOw.[m.[26;15Hg.[7mg.[mu.[7mu.[me.[7me.[ms.[7ms.[mt.[7mt.[m .[1;36;44m.........[33mC_CCUmusical.[36m.........[m.[28;1H.[1;34;46m 13:56 03/02 .. .[;30;44m .[1;33m.b.v.......l.[37m .[47m .[;30;47m.......[1;34m 6 .[;34;47m.[30m.H,...O guest .[1;33m.[;37;47m.[30m [.I.s].. .[m.[13;49H.[14;21H(.[1;36mB.[m)oards .i .[1;36;40m.G.i.Q.....[m .j.[14;49H.[15;21H(.[1;36mC.[m)lass .i .....Q.... .j.[15;49H.[16;21H(.[1;36mF.[m)avorite .i .......R.s .j.[16;49H.[17;21H(.[1;36mM.[m)ail .i .H........ .j.[17;49H.[18;21H(.[1;36mT.[m)alk .i .........a .j.[18;49H.[19;21H(.[1;36mU.[m)ser .i ...H.u...{ .j.[19;49H.[20;21H(.[1;36mX.[m)yz .i .[1;37;42m.v...A.....[m .j.[20;49H.[21;21H(.[1;36mG.[m)oodbye .i .U...A.|.a .j.[14;19H>.[14;20Hb .[;H.[2J.[1;37;46m.i...O.C...j .[33m.[5;43m .z...s.d.... .[m.[1;37;46m ...O.m.|.....w.n.[m ``` **chatgpt:** ```! 這是另一個BBS系統介面的截圖，應該是台灣中正大學(CCU)的BBS系統的主選單介面。從捕獲的數據可以看出這是一個典型的終端BBS系統導航螢幕。 在這個介面中可以看到： 頂部有"C_CCUmusical"的版面標識 時間顯示為"13:56 03/02" 使用者似乎是以"guest"身分登入的 主選單選項包括： (B)oards - 討論版面列表 (C)lass - 分類討論區 (F)avorite - 個人收藏的版面 (M)ail - 站內信箱 (T)alk - 聊天功能 (U)ser - 使用者訊息 (X)yz - 可能是額外功能 (G)oodbye - 登出系統 截圖的最後部分顯示使用者選擇了`b`選項(Boards)，然後系統清除螢幕`(.[;H.[2J)`並開始載入版面清單頁面。 這是典型的終端BBS介面，使用ANSI轉義序列來實現彩色文字和介面佈局。這種BBS系統在90年代到2000年代初期非常流行，尤其在台灣的大學校園。現在雖然已被網頁論壇和社群媒體取代，但仍有一些忠實用戶和社群在使用。 透過Wireshark捕捉到這樣的流量，說明有人正在使用Telnet或SSH客戶端連接到這個BBS系統。 ``` 再看看 看到了這個  這感覺很像flag，改一下 conversation  有了! 答案: `080db310bb6e7fb93cb36a9218918133` ## 07_幻象解譯者 暗中掌握詐騙集團的登入驗證金鑰⭐⭐⭐ (8000分) >女婕思團隊深入調查詐騙集團的系統時，遇到了某種網站登入驗證的應用，那是一種在網路通信中常見的驗證方式，用來加密和驗證登入用戶的身份。請著手分析 網站，以解析其中的訊息與登入。 :::spoiler 提示1 (答對得分降為6500分) 解析Web Token 的編碼方式，取得其中的資訊，修改、重新包裝，再傳送回去。 ::: :::spoiler 提示2 (答對得分降為4000分) Web Token可能是由網路位址使用特殊方法產生的喔。 ::: 首先注意到他的網址不太一樣 ```! http://10.99.179.56/lv7/index.php?token=aGFzaD00Yjg0YjE1YmZmNmVlNTc5NjE1MjQ5NWEyMzBlNDVlM2Q3ZTk0N2Q5O2lwPTEyNy4wLjAuMTs= ``` **base64deocde:** ```! hash=4b84b15bff6ee5796152495a230e45e3d7e947d9;ip=127.0.0.1; ``` **hash decode:** 原來就只是sha-1的ip  看來是把網址改成我的ip就可以了 ```! aGFzaD1hOTFiN2VhZDFiZWQxNTU0NjI2YTg0NjgxNzMxY2YwN2ZlYjRmOGQ0O2lwPTEwLjk5LjE3OS41NTs= ```  有了! 答案: `7be1e45b5bf058dcceaa909955499d87 ` ## 08_黯影重生 消失的詐騙證據最終將重現天日⭐⭐⭐✩ (9000分) >女婕思團隊面臨的挑戰是分析相關檔案，以取得詐騙集團的犯罪證據。請運用相關的資安技術和工具，開始對檔案進行分析，以恢復其中的重要內容，最終得以將相關的犯罪證據交給調查人員，讓司法重現天日。 :::spoiler 提示1 (答對得分降為7500分) 請確認ZIP檔案標頭(File Header)格式規範，並嘗試修補缺失的部分。 ::: :::spoiler 提示2 (答對得分降為5000分) 檔案標頭缺失的部分可能跟檔案壓縮前後的大小有關，用HEX編輯器(如HxD)修補吧。 ::: 如果想要直接解壓縮的話:  看來這題是考檔案修復? 但結果AI幫我寫了一個code秒殺了這題 ```python= import os import zipfile # 檔案路徑設定 zip_file = r"C:\Users\Downloads\8(1).zip" output_folder = r"C:\Users\Downloads\extracted_files" print(f"開始解壓縮: {zip_file}") # 確保輸出資料夾存在 os.makedirs(output_folder, exist_ok=True) try: # 開啟並解壓縮 with zipfile.ZipFile(zip_file, 'r') as zip_ref: # 輸出檔案數量 files = zip_ref.namelist() print(f"ZIP 包含 {len(files)} 個檔案") # 提取所有檔案 zip_ref.extractall(output_folder) print(f"成功解壓縮至: {output_folder}") # 列出提取的檔案 print("\n提取的檔案:") for file in files: print(f"- {file}") except Exception as e: print(f"解壓縮失敗: {str(e)}") # 等待用戶確認後退出 input("\n按 Enter 鍵退出...") ``` 因為 Python 的 `zipfile.ZipFile()` 不依賴開頭的 header，而是能自動找出 ZIP 實際的中央目錄位置，進行解壓縮 算是其他解吧 答案: `e88e2010466e43d9629ad1cdd81af43f` ## 09_動物之林的迷宮 揭露詐騙集團洗錢機制的黯黑技術⭐⭐⭐⭐ (11000分) >女婕思團隊發現了詐騙集團正在利用一個動物園管理網站來進行非法活動，在調查中發現這個網站存在一個網站漏洞，可利用漏洞控制該網站伺服器。 請利用Zoo Management System 1.0的漏洞對網站發動攻擊，找到隱藏的php後門程式。 留意發動攻擊後網站新增的動物資料頁面，原始碼內會有web shell的所在位置。 ## 10_血色洗禮的試煉 探索詐騙集團洗白魔法的技術黑洞⭐⭐⭐⭐⭐ (13000分) >女婕思團隊發現了詐騙集團在一個捐血中心管理網站中進行非法活動。該網站存在一個常見的資安漏洞，允許攻擊者通過對網站資料庫發送惡意指令，從而取得敏感資訊或控制網站。  大致上有看出注入點 但資料庫是壞的 最後兩題靶機都出現問題 就先不打了 等CDX哪天修好