Baby_4 - ASCIS 2023

# Baby_4 ## Challenge ![](https://hackmd.io/_uploads/ryx3foRxT.png) ## Solution Sau khi kiểm tra, mình nhận ra file được cho là 1 file Windows Minidump (tức là được dump từ 1 process đang chạy trên window) ![](https://hackmd.io/_uploads/HJyTYiRxa.png) Nên mình đã sử dụng tool để kiểm tra xem tiến trình đang làm gì. Mình có thấy trong module có 1 cái tên là "CobaltStrike.exe" nên đã analysis nó. Sau đó tìm theo string thì có thấy 1 cái là "Congratulation" ![](https://hackmd.io/_uploads/rJlPoiCl6.png) Lục tìm thì có thấy string này được gọi trong 1 hàm ![](https://hackmd.io/_uploads/HJHFisAga.png) Hàm này được gọi đến từ 1 hàm khác của CobaltStrike ![](https://hackmd.io/_uploads/rJWhosRxp.png) Ngồi phân tích 1 lúc, mình có thấy tại hàm này, rất có rất nhiều offset và được gọi đến ![](https://hackmd.io/_uploads/ByYynsAg6.png) Thấy có sự xuất hiện của những từ như "AES","ChainingModeECB",... mình đã phỏng đoán các offset được gọi đến sẽ liên quan đến các API có liên quan đến việc encrypt ![](https://hackmd.io/_uploads/rJG32iAg6.png) Và nó đúng là thế thật. Nên mình đã ngồi để lần mò và có tìm được key được lưu tại [ebx+0Ch] hay cũng như byte_4644FC (Vì có sử dụng hàm memcpy). Đủ 16 bytes ![](https://hackmd.io/_uploads/ry216iRga.png) Và ngay bên dưới, việc decrypt được thực hiện ![](https://hackmd.io/_uploads/ByrwpiCla.png) Dữ liệu được decrypt chính là dữ liệu tại offset "unk_4643F8" ![](https://hackmd.io/_uploads/ByPc6sAl6.png) Có key rồi, có dữ liệu bị encrypt rồi, nên mình tự thực hiện việc decrypt trên Cyberchef và thành công lấy được flag ![](https://hackmd.io/_uploads/BkzFCsAxp.png) Flag: `ASCIS{H4v3_Y0u_7ri3d_u5ing_57RINg5_0N_M3M0RY_dUmp}`