Trololo
Description
A computer belonging to a new company has been infected by a malware. This is a known version of a cryptolocker software, that uses a irc server to received commands. Let's try to grab its password...
The challenge is available at : http://static.quals.nuitduhack.com/trololo.pcap
Details
- Points
- 100
- Category
- Inforensic
- Validations
- 74
Attachments
This challenge has no attachment.
ダウンロードしたファイルはパケットキャプチャしたファイルです。Wiresharkで開いて、「File」→「Export Objects」→「HTTP」を選択します。config.encファイルを選択して保存します。
ADDRESS 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 0123456789ABCDEF次のRubyプログラムでビット反転させたデータをファイルに出力します。
------------------------------------------------------------------------------
00000000 C3 C0 87 92 93 DF 89 9A 8D 8C 96 90 91 C2 DD CE テタ��那凹轟鱒堕ンホ
00000010 D1 CF DD DF 9A 91 9C 90 9B 96 91 98 C2 DD 8A 8B ムマン゚囁恊尠遭ツン葛
00000020 99 D2 C7 DD DF C0 C1 F5 C3 9C 90 91 99 96 98 8A 參ヌン゚タチ恊鎗迄轄
(略)
w = open("aaa.txt", "wb")実行すると次のファイルが出来ます。
f = open("config.enc", "rb")
f.each_byte do |c|
w.write([c ^ 0xff].pack('C'))
end
f.close
w.close
<?xml version="1.0" encoding="utf-8" ?>IRC_CHANPASS(パスワード)の値がフラグになります。
<configuration>
<mailSettings>
<smtp from="crypto@ndh2k16.com">
<network host="hermes.ndh2k16.local" port="25"/>
</smtp>
</mailSettings>
<NDHCrypto.Settings>
<setting name="EXT_TO_ENCRYPT" serializeAs="String">
<value>docx:doc:xls:xlsx:pdf:jpg:odt:ods:png:bmp:avi:mp4</value>
</setting>
<setting name="KEY" serializeAs="String">
<value>AD784DA62D1DDBB19B7F0500A52DD15C0BD70F924A5EF7C3CEA134C428747AFB</value>
</setting>
<setting name="SUBJECT" serializeAs="String">
<value>New infected</value>
</setting>
<setting name="IRC_SRV" serializeAs="String">
<value>irc://irc.ndh2k16.com:6667</value>
</setting>
<setting name="IRC_CHAN" serializeAs="String">
<valude>#Crypt0NDH2K16</value>
</setting>
<setting name="IRC_CHANPASS" serializeAs="String">
<value>orudeujieh6oonge4She</value>
</setting>
</NDHCrypto.Settings>
</configuration>
したがって、フラグは、
orudeujieh6oonge4She
です。