Article - Analyse Lockbit

Analyse LockBit Analyse statique du code Vérification de l’Anti-Debug Au début du programme, celui-ci vérifie que le flag NtGlobalFlag (0x70) est set. Si c’est le cas, le binaire rentre dans une boucle infinie. Sinon le binaire continue son exécution. Figure 1: Vérification de l’Anti-Debug. Chargement des DLL Le binaire charge très peu de DLL et fonction au démarrage. Figure 2: Liste des DLL chargés par le programme. ...

May 23, 2022 Â· 11 min Â· Aether

Mars@Hack 2022 : Break safe code - 2 Easy

Break safe code - 2 Easy Write-up TL;DR En m’aidant du fichier flowchart.png, je pouvais déduire les fonctions dans le programme. La fonction permettant d’initialiser un code révèle un XOR dynamique en commençant avec la clé 0xc6. Il m’a ensuite suffi de décoder la mémoire EEPROM via le XOR dynamique pour récupérer le code de la boîte. Introduction Le challenge fournit : - un schéma électronique - un schéma du flow d’exécution du programme ...

May 8, 2022 Â· 4 min Â· Aether

Capture The Talent 2022 : Pwn - Global Pandemic (Write-Up)

Global Pandemic This challenge give us the c code and the compiled binary. Figure 1: Global_Pandemic.c The Vulnerability First, at looking at the c code we can see the printf(pass); line. That is a Format Bug String. We can check that if we try to compile with clang. Figure 2: Compilation of the c code with clang. Pre-requirements To obtain the flag, we need to change the admin variable value. To do that, we need to write 0xb4dbabe3 were the address of admin is. ...

February 22, 2022 Â· 2 min Â· Aether

FCSC 2021 : Malware 3-3

Malware 3-3 Ce challenge est un challenge en 3 parties indépendantes, mais dont l'ordre logique est indiqué par les numéros : forensics (1) -> pwn (2) -> reverse (3). /!\ Le programme a de réelles capacités malveillantes /!\ Ouf ! Vous avez réussi à récupérer le malware, à vous connecter sur le serveur de l'attaquant et à récupérer la clé privée (fichier key.priv ci-joint) ayant servi à chiffrer votre précieux flag. Le fichier key.priv portait initialement le nom : 0fdb0eea57198b3bb69e8267690ede5d5ba95ab791638a610372120b773d4acc_2021-03-15|21:34:41.priv. Dechiffrez le fichier flag.txt pour valider cette épreuve. SHA256(malware) = d63087cb4ad44b1bf07646e195e8bc2997ab0dea6119f0ef6c70ddcc51dc7f11. SHA256(flag.txt) = 14474b163650c1e940ae9612e29c4a8a5012f1ee1d31c6262f84e657680568b8. SHA256(key.priv) = 55a4f14531fbc38349687d1a8fb13faa55a52bb8cff5bb23576ca72c595af37f. Tag: reverse ...

May 3, 2021 Â· 10 min Â· Aether

FCSC 2021 : Vice-VeRSA

Vice-VeRSA Points: 199 (dynamique) L'administrateur se cache bien d'indiquer aux utilisateurs que leurs messages sont enregistrés. Prouvez-lui qu'on ne peut pas la faire à l'envers aux utilisateurs. http://challenges2.france-cybersecurity-challenge.fr:5003 Tags: web, crypto Analyse Avec le nom du challenge et les tags, je comprends que le challenge va être orienté crypto avec une partie web. Plus précisément sur du chiffrement RSA. Dans un premier temps, j’aime bien regarder le code source html de chaque page pour me faire une arboresence de toutes les pages disponibles. Après l’avoir fait sur la première page, je comprends que 4 pages sont disponibles. ...

May 3, 2021 Â· 7 min Â· Aether

FCSC 2020 : Chapardeur de mots de passe

Chapardeur de mots de passe Points : 168 (Dynamique) Un ami vous demande de l'aide pour déterminer si l'email qu'il vient d'ouvrir au sujet du Covid-19 était malveillant et si c'était le cas, ce qu'il risque. Il prétend avoir essayé d'ouvrir le fichier joint à cet mail sans y parvenir. Peu de temps après, une fenêtre liée à l'anti-virus a indiqué, entre autre, le mot KPOT v2.0 mais rien d'apparent n'est arrivé en dehors de cela. Après une analyse préliminaire, votre ami vous informe qu'il est probable que ce malware ait été légèrement modifié, étant donné que le contenu potentiellement exfiltré (des parties du format de texte et de fichier avant chiffrement) ne semble plus prédictible. Il vous recommande donc de chercher d'autres éléments pour parvenir à l'aider. Vous disposez d'une capture réseau de son trafic pour l'aider à déterminer si des données ont bien été volées et lui dire s'il doit rapidement changer ses mots de passe ! SHA256(pws.pcap) = 98e3b5f1fa4105ecdad4880cab6a7216c5bb3275d7367d1309ab0a0d7411475d - 463MB Analyse Le fichier à analyser est une capture réseau. ...

May 3, 2020 Â· 7 min Â· Aether

FCSC 2020 : Académie de l'investigation - Premiers artéfacts

Académie de l’investigation - Premiers artéfacts Points : 107 (Dynamique) Pour avancer dans l'analyse, vous devez retrouver : Le nom de processus ayant le PID 1254. La commande exacte qui a été exécutée le 2020-03-26 23:29:19 UTC. Le nombre d'IP-DST unique en communications TCP établies (état ESTABLISHED) lors du dump. Format du flag : FCSC{nom_du_processus:une_commande:n} Le fichier de dump à analyser est identique au challenge C'est la rentrée. Pré-requis Pour ce challenge, il fallait créer un profil pour pouvoir accèder aux informations de la machine sur volatility. ...

May 3, 2020 Â· 5 min Â· Aether

FCSC 2020 : Clepsydre

Clepsydre Points : 173 (Dynamique) À l'origine, la clepsydre est un instrument à eau qui permet de définir la durée d'un évènement, la durée d'un discours par exemple. On contraint la durée de l’évènement au temps de vidage d'une cuve contenant de l'eau qui s'écoule par un petit orifice. Dans l'exemple du discours, l'orateur doit s'arrêter quand le récipient est vide. La durée visualisée par ce moyen est indépendante d'un débit régulier du liquide ; le récipient peut avoir n'importe quelle forme. L'instrument n'est donc pas une horloge hydraulique (Wikipedia). Service : nc challenges2.france-cybersecurity-challenge.fr 6006 Analyse Au début, je pensais à une sorte d’énigme. Alors, j’ai cherché et regardé ce qu’était un Clespydre sur wikipedia. ...

May 3, 2020 Â· 3 min Â· Aether

FCSC 2020 : Why not a Sandbox?

Why not a Sandbox? Points : 490 (dynamique) Votre but est d'appeler la fonction print_flag pour afficher le flag. Service : nc challenges1.france-cybersecurity-challenge.fr 4005 Analyse Avec la description du challenge je me doute qu’il doit y avoir une fonction cachée que je vais devoir trouver. La description étant assez courte et contenant peu d’informations, je me concentre sur l’environnement. En se connectant au challenge, je sais que j’ai affaire à la version 3.8.2 de Python : ...

May 3, 2020 Â· 7 min Â· Aether

FCSC 2020 : RainbowPages v2

RainbowPages v2 Points : 250 (dynamique) La première version de notre plateforme de recherche de cuisiniers présentait quelques problèmes de sécurité. Heureusement, notre développeur ne compte pas ses heures et a corrigé l'application en nous affirmant que plus rien n'était désormais exploitable. Il en a également profiter pour améliorer la recherche des chefs. Pouvez-vous encore trouver un problème de sécurité ? URL : http://challenges2.france-cybersecurity-challenge.fr:5007/ Ce challenge fait suite au challenge RainbowPages ...

May 3, 2020 Â· 4 min Â· Aether