Ctrlk
TwitterGithub
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Forensic

Challenge
Link

Riil Kh? (364 pts)

Here

Syntek Hospital's Evidence (Part 1) (456 pts)

Here

Riil Kh? (364 pts)

Description

-

Solution

Jadi flag ada di email , ada 2 bagian. Tapi saya nemu jadi 1. Karena kami gatau bagaimana request saat pengiriman email, jadi kami coba analisis requestnya dengan burpsuite.

Jadi ada di post sync/u/<int> . Cari req tersebut diwireshark

Hingga didapatkan 1 req yang memiliki flag. Copy jsonnya dan liat ada flag

Flag : IFEST22{Th3_tRutH_15_g3ner@LLy_s33n_@nd_RareLy_h3ard_yagesya}

Syntek Hospital's Evidence (Part 1) (456 pts)

Description

-

Solution

Diberikan mem dump, lakukan analisis terhadap proses yang berjalan.

Karena deskripsi menjelaskan bahwa aplikasi ngoding yang biasa digunakan maka dari nama filenya kemungkinan adalah scripteditor.exe atau code.exe. Lakukan procdump untuk kedua proses tersebut

Setelah melakukan analisis unutk file exenya kami menemukan kejanggalan pada Code.exe (dibuild menggunakan c#). Disini kami menggunakn ilspy untuk decompile

Program tersebut menjalankan Code.ps1, jadi kami save resourcenya.

Lakukan binwalk dan kami mendapat Code.ps1

Sampai disini terlihat address dan port nya jadi tinggal gabunngkan dengan filename untuk mendapatkan flagnya

Flag : IFEST22{Code.exe_192.168.219.147_443}

PreviousCryptographyNext2021

Last updated