Salam, Jumaat lepas team h0f telah join DEFCON – Red Team Village CTF (Qualifications round), dan kami telah buat beberapa Challenge yang agak mudah, memandangkan kesuntukan masa dan komitmen lain, kami main yang surface saja. Hehehehe. So ini merupakan Unofficial Writeup bagi Challenge tersebut.
covidscammers Challenge Walkthrough
Abam akan share Writeup yang simple(maleh nak cito panjang-panjang la, hahaha) berkaitan covidscammers Challenge, berikut adalah Challenges yang telah dapat kami selesaikan.
Free Flag (and binary)
You’ve been contacted by a high-end but morally ambiguous finance company (unhackable-bitcoin-wallet.com) to investigate a data breach. The box in question is a mail server in their internal network, a sample of the malware found on the system has been pulled and given to you. Your task, should you choose to accept it, is to reverse-engineer the sample and locate, fuzz and exploit the C2 server, and then hack-back to learn about the malicious actor and recover the stolen documents.
Solutions:
strings client | grep "free"
atau
buka ghidra (windows -> Defined Strings)
Address 0x0804a47a boleh digunakan sebagai starting breakpoint untuk dynamic analysis
Flag: TS{freeFlagLookatMe}
Syscalls
What syscall is hindering your dynamic analysis? Flag is just the syscall, no brackets or anything.
Solutions:
strace ./client
atau
Double click pada address 0x0804a47a dan scroll ke atas untuk mencari point What syscall is hindering your dynamic analysis?
The ptrace system call allows one process to trace another. My guess is that your application (that is trying to detect the debugger) spawns a child process (or maybe thread) and then uses ptrace to attach to this child, just like a debugger would.
Flag: ptrace
Who Me?
What is this malware sample called (not the actual binary name)? Flag is the name as a string, no brackets or anything.
Solutions:
strings client | grep -i covid
Flag: TheCovidBotNet
Scouting
What is the C2 server? Provide the domain as the answer, no brackets or anything..
Solutions:
Dynamic Analysis
wireshark &
./client
Static Analysis
echo -n "Y292aWRmdW5kcy5uZXQ=" | base64 -d
Flag: covidfunds.net
This is nice, might stay a while…
How does the malware persist? SHA1 hash the path of the persistence location. echo -n “/full/path” | sha1sum
Solutions:
Dynamic Analysis
file ./client
./client: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, not stripped
binary statically linked dan not stripped
./client
ls /etc/init.d
echo -n "/etc/init.d/covid" | sha1sum
data = [0x87,0xbd,0xcc,0xbb,0x87,0xc1,0xc6,0xc1,0xcc,0x86,0xbc,0x87,0xbb,0xc7,0xce,0xc1,0xbc]
length = len(data)
for i in range(length):
path = chr(data[i]-0x58)
print(path, end ="")
echo -n "/etc/init.d/covid" | sha1sum
Flag: b2444a31d941bdadc4bd3fcbbac2102859a101d2
Shared Secrets
The malware creates a shared-memory object and stores a flag inside. Recover the flag. Flag has the TS{} format, you’ll know when you get it.
Salam, Jumaat lepas team h0f telah join DEFCON – Red Team Village CTF (Qualifications round), dan kami telah buat beberapa Challenge yang agak mudah, memandangkan kesuntukan masa dan komitmen lain, kami main yang surface saja. Hehehehe. So ini merupakan Unofficial Writeup bagi Challenge tersebut.
Logs Challenge Walkthrough
Abam akan share Writeup yang simple(maleh nak cito panjang-panjang la, hahaha) berkaitan Logs Challenge, berikut adalah Challenges yang telah dapat kami selesaikan. Ayat copy pes jer dari posting lopeh. Hahaha
Abam hanya kongsi step ringkas untuk dapatkan flag secara terus, proses try and error abam tak share la, panjang na.
1 – What failed
After a hard day of defeating cyber attacks from adversaries, let’s dig into some sweet log files from our server to see how many cyber attacks we single handidly stopped.
What service was fail2ban configured to protect?
Solutions:
Dari fail fail2ban.log kita tahu dah service yang dimaksudkan adalah ssh
Salam, Jumaat lepas team h0f telah join DEFCON – Red Team Village CTF (Qualifications round), dan kami telah buat beberapa Challenge yang agak mudah, memandangkan kesuntukan masa dan komitmen lain, kami main yang surface saja. Hehehehe. So ini merupakan Unofficial Writeup bagi Challenge tersebut.
Pwn Challenge Walkthrough
Abam akan share Writeup yang simple(maleh nak cito panjang-panjang la, hahaha) berkaitan Pwn Challenge, berikut adalah Challenges yang telah dapat kami selesaikan. Ayat copy pes jer dari posting lopeh. Hahaha
Abam hanya kongsi step ringkas untuk dapatkan flag secara terus, proses try and error abam tak share la, panjang na.
Clicker
All you have to do is score 10,000,000 to get the flag.
Salam, Jumaat lepas team h0f telah join DEFCON – Red Team Village CTF (Qualifications round), dan kami telah buat beberapa Challenge yang agak mudah, memandangkan kesuntukan masa dan komitmen lain, kami main yang surface saja. Hehehehe. So ini merupakan Unofficial Writeup bagi Challenge tersebut.
RE Challenge Walkthrough
Abam akan share Writeup yang simple(maleh nak cito panjang-panjang la, hahaha) berkaitan RE Challenge, berikut adalah Challenges yang telah dapat kami selesaikan. Ayat copy pes jer dari posting lopeh. Hahaha
Debug me
Or just dissasemble me.
Solutions:
Abam hanya kongsi step ringkas untuk dapatkan flag secara terus, proses try and error abam tak share la, panjang na.
$file re_me
$gdb -q ./re_me
(gdb) disass main
Dump of assembler code for function main:
0x080484be <+0>: lea 0x4(%esp),%ecx
0x080484c2 <+4>: and $0xfffffff0,%esp
0x080484c5 <+7>: pushl -0x4(%ecx)
0x080484c8 <+10>: push %ebp
0x080484c9 <+11>: mov %esp,%ebp
0x080484cb <+13>: push %ebx
0x080484cc <+14>: push %ecx
0x080484cd <+15>: call 0x80484ff <__x86.get_pc_thunk.ax>
0x080484d2 <+20>: add $0x1b2e,%eax
0x080484d7 <+25>: sub $0xc,%esp
0x080484da <+28>: lea -0x1a70(%eax),%edx
0x080484e0 <+34>: push %edx
0x080484e1 <+35>: mov %eax,%ebx
0x080484e3 <+37>: call 0x80482e0 <puts@plt>
0x080484e8 <+42>: add $0x10,%esp
0x080484eb <+45>: call 0x8048426 <vuln>
0x080484f0 <+50>: mov $0x0,%eax
0x080484f5 <+55>: lea -0x8(%ebp),%esp
0x080484f8 <+58>: pop %ecx
0x080484f9 <+59>: pop %ebx
0x080484fa <+60>: pop %ebp
0x080484fb <+61>: lea -0x4(%ecx),%esp
0x080484fe <+64>: ret
End of assembler dump.
Salam, Jumaat lepas team h0f telah join DEFCON – Red Team Village CTF (Qualifications round), dan kami telah membuat beberapa Challenge yang agak mudah, memandangkan kesuntukan masa dan komitmen lain, kami main yang surface saja. Hehehehe. So ini merupakan Unofficial Writeup bagi Challenge tersebut.
Forensics Challenge Walkthrough
Abam akan share Write-up yang simple(maleh nak cito panjang-panjang na, hahaha) berkaitan Forensics Challenge, berikut adalah Challenges yang telah dapat kami dapat selesaikan.
Tom Nook – 1A – Internet Traffic
Bagi Tom Nook Challenge ni, peserta di minta untuk membuat analisa terhadap satu pcap file (TomNookInternetTraffic.pcap)
Abam guna classic UI jer, yang baru ni resource nya tinggi skit, mungkin khayalan abam saja kot, hehehe.
Klik pada menu Access tu gais, kemudian klik button [Connection Pack] atau [Regenerate], Regenerate ni sebenarnya kalau Connection Pack yang kita download tu problem.
HTB menggunakan OpenVPN connection file, jadi kita kena setup OpenVPN client. Korang bolehlah download dan setup melalui URL berikut : https://openvpn.net/community-downloads/
Kemudian kita import file Connection yang kita download seperti dalam Rajah 2, import menggunakan OpenVPN client yer gais, lepas tu tekan menu connect. Pastikan VPN kita dah connected.
Klik pada menu Machines -> All kemudian klik pada mana-mana machine yang kita nak cuba.
Kita try ping ip machine berkenaan untuk pastikan ada connection, dan kita dah boleh start hackin 🙂
Cuma dalam environment VPN ni kita kena hati-hati jugak, kadang ada ore acu cuba try test machine kita plop. Huhuhu. Barangkalilah!
Salam semua, kali ni abam nak share macam mana kita nak register Hack The Box untuk kita hands on skill Penetration Testing.
Hack The Box is an online platform allowing you to test your penetration testing skills and exchange ideas and methodologies with thousands of people in the security field
Tanpa membuang masa, korang boleh akses page https://www.hackthebox.eu/invite untuk dapatkan [Invite Code] suapaya proses registration dapat dibuat. Pertama sekali kita klik pada button Want Some Help? [Click Here] untuk mendapatkan Hint yang berkaitan:
Dari Hint yang dipaparkan, kita perlu mendapatkan maklumat lanjut melalui Console Tab – Inpect Element Web Browser (abam guna Chrome). Code untuk tujuan invite code ni ada dalam file : /js/inviteapi.min.js
Kita cuba buka file /js/inviteapi.min.js ni dan tengok apa function yang ada, melalui code berkenaan kita dapat kenalpasti beberapa function, kita cuba analisa sikit makeInviteCode funtion ni dalam Console tab nanti.
Taipkan makeInviteCode dalam console tab
function makeInviteCode(){$.ajax({type:"POST",dataType:"json",url:'/api/invite/how/to/generate',success:function(a){console.log(a)},error:function(a){console.log(a)}})}
Daripada code function makeInviteCode(), kita dapati :
Perlu buat POST request
url : /api/invite/how/to/generate
Jadi kita boleh mula buat requesr berkenaan, kita boleh edit request pada any interception proxy (burp dll) atau membuat raw request (abam guna curl)
Kita dah dapat response dan Invite Code yang diperlukan, tapi code berkenaan di encode, kalau kita tengok balik code di encode dengan base64 (berdasarkan tanda padding kat belakang skali)
TFhPSVYtTk9aSUItRkJQTEEtUlNSTVUtU1ZGWVU=
Kita hanya perlu decode balik dari base64 ke plain text dan kita sudah dapat Invite Codenya, bolehlah kita proceed untuk register HTB.
Lepas dah register korang boleh lah login, kat bawah ni gambar platform baru (masih beta), boleh lah try tengok dan baca part Introduction, dan lain-lain, lepas tu moh join kita hack the box. Hihihi. Barangkali lah!
Salam semua, kali ni abam nak share berkenaan seup kali linux menggunakan WSL(Windows Subsystem for Linux). Windows 10 mempunyai satu ciri di panggil “Windows Subsystem for Linux” (WSL) yang membolehkan pengguna menjalankan Linux secara terus dari OS Windows 10. Ini menarik geng, kita dapat menjimatkan resource berbanding kita menggunakan Virtual Machine manager macam Virtual Box, VM Player dan seumpamanya.
Kita boleh download Kali Linux melalui Windows App Store untuk tujuan ini, walaubagaimanapun kali linux berkenaan adalah Bare Bone, bermakna tiada pre-installed tools di dalamnya, untuk itu korang kena setup sendiri tools yang korang nak gunakan. OK, jom kita tengok macam mana nak setup.
Pastikan OS Windows 10 anda dikemaskini dengan update terkini.Runkan Windows Powershell sebagai administrator, kemudian runkan command berikut untuk enablekan WSL :
Buka Microsoft Store, search Kali Linux dan tekan butang Get
Buka command prompt dan taipkan kali, kemudian setupkan username dan password yang korang nak. Sekarang ni korang dan boleh gunakan kali linux melalui windows korang.
Kemudian runkan command berikut untuk update serta install gui pada kali linux:
Ada beberapa kekangan bila kita guna Linux Subsystem dalam Windows ni, seperti contoh kalau guna nmap akan keluar error could’nt open raw socket dan seumpamanya la, WSL buat masa ni tak banyak support untuk raw sockets.
Kalau korang ada issue untuk update, boleh try repo lain, abam guna repo ni untuk update kali
deb http://kali.cs.nctu.edu.tw/kali kali-rolling main contrib non-free
Salam semua, salam PKPP kepada korang. Berbulan dah kami tak update blog ni, maklumlah agak bz dengan macam-macam urusan kan. Kali ni abam nak share macam mana nak extend size virtual disk dalam VirtualBox. Isunya abam ada setup satu windows VM untuk tujuan testing, lama kelamaan, saiz yang mula-mula abam allocate tu dah tak cukup, so nak kena extend size la. Tanpa membuang masa, jom kita tengok macam mana nak buat benda ni.
Buka menu Settings pada Virtual Machine yang kita nak extend disknya tu, Klik pada Storage, kemudian dibawah Controller : SATA, right click pada vdi berkenaan dan tekan Remove Attachment. (Saiz sekarang ni 100GB abam nak increae jadi 250GB).
Next, korang buka folder VirtualBox, untuk kes abam pathnya adalah C:\Program Files\Oracle\VirtualBox. Bukak command prompt dari folder berkenaan dan runkan command berikut:
Hampir genap 10 tahun menghadap insiden-insiden sekecil-kecil dari web defacement sehinggalah Advance Persistant Threat, ada satu penyataan yang amat menjengkelkan bila orang cakap “macam mana nak baca log ek?”
Jadi mari kita mendalami bidang Incident Response & Handling dengan lebih terperinci..sebelum tu, berikut adalah pesanan penaja:
Bosan la jadi IRT, jadi Pentester lagi glamer & bergaya macam Neo dalam Matrix
– Beruk Budak Baru Nak Up
Cyber version of Sherlock Holmes & Dr. Watson
Berdasarkan definisi dari SANS, Incident Handling (IH) adalah fungsi logistik, komunikasi, koordinasi dan merancang yang diperlukan dalam memastikan sesuatu insiden dapat diselesaikan dalam keadaan lancar dan efisyen. Manakala Incident Response (IR) pula adalah semua yang berkaitan komponen teknikal yang diperlukan untuk menganalisis dan mengawal sesuatu insiden.
Ya, IR & IH sebenarnya merupakan dua bidang kuasa yang berbeza namun merupakan hubungan simbiosis bagi memastikan sesuatu insiden itu dapat dikendalikan dengan tertib. Dengan kata lain, kerja IRH ni sebenarnya cam gandingan Sherlock Holmes (IR) dan Dr. Watson (IH) dalam merungkai misteri pencerobohan dan serangan siber yang berlaku didalam sesuatu rangkaian dan server terbabit. Bunyi gempak kan? Ini sebenarnya bukan rekaan kerana kes-kes yang melibatkan serangan siber selalunya agak kompleks dan memerlukan tahap kefahaman, penaakulan, pemerhatian dan menghasilkan kesimpulan yang tinggi sepertimana Sherlock Holmes & Dr Watson mengendalikan kes-kes pembunuhan yang kompleks. Tak caya cuba sebut nama syarikat Mandiant, confirm org tabik spring kot kalau dengar. Bukan kaleng-kaleng team tu buat IRH.
Untuk kali ini kita tengok dulu tugas-tugas IH dahulu sebab ni selalu geng-geng bos punya kerja.
INCIDENT HANDLING 101
Ada satu kata pujangga yang menyebut “a breach is not a disaster, but mishandling it is“. Disini dapat dilihat kegagalan mengendalikan sesuatu insiden itu merupakan kunci utama ianya bertukar dari insiden menjadi musibah.
Bagi IH, tugas utamanya ialah dalam mengenalpasti kejadian, langkah-langkah yag perlu diambil dan juga pelan yang sesuai dalam mengendalikan insiden. Mereka juga bertanggungjawab dalam memastikan aspek pengurusan dan proses mengangkat penemuan/keputusan ke pihak atasan adalah jelas dan teratur. Sebab tu geng-geng IH ni takleh bagi kat orang yang asyik blur-blur atau selalu lepas tangan sebab nanti IR yang akan terbeban disebabkan IH yang tidak kompeten dalam menyampaikan maklumat yang diperlukan oleh pengurusan atasan.
Jika dikaitkan dengan pekeliling penubuhan CERT Agensi, jawatan yang dicadangkan untuk menjadi IH adalah Pengurus CERT yang juga menyandang jawatan ICTSO. Ini kerana bidang tugas ICTSO itu sendiri merangkumi mengenalpasti insiden, mengesahkan dan mengistiharkan insiden, menetapkan tahap keparahan & kritikal, mengumpul maklumat, menghasilkan laporan dan mengangkat cadangan/pelan ke pengurusan tertinggi. Dengan kata lain, jawatan ICTSO memerlukan personel yang mantap dalam segi pengurusan dan membuat keputusan. Dapat yang lemau mmg “sadakallahhalazim”
KERJA MENGURUS SAJA KA ?
Sebenarnya kerja IH ni dari fasa Perancangan pon dah ada kerja bersepah. Salah satunya ialah kena sediakan pelan yang bersesuaian dengan keadaan organisasi dalam mengendalikan insiden yang tahap rendah sehingga tahap kritikal. Ini juga termasuk Business Continuity Plan dan Disaster Recovery Plan. Pelan-pelan tersebut kena mengambil kira kos makan/minum, penginapan, peralatan/perisian yang diperlukan, duit kecemasan, keperluan mengupah pihak ketiga dan juga hal-hal berkaitan komunikasi korporat serta kebersihan dan fasiliti kesihatan bagi staf yang terlibat. Nampak cam pelik kan sampai tahap kebersihan kena jaga dgn bekalkan kit kebersihan yang mengandungi ubat gigi, deodorant, sabun dan lain-lain tapi kena ingat, takkan staf-staf yang berjaga malam tu tak mandi sambil badan berbau tengit nak bagi masuk masuk mesyuarat pagi? Keterampilan diri mereka juga merupakan aspek yang perlu dijaga oleh IH bagi mengelakkan imej organisasi tercalar kerana tiada profesionalisme. Nampak lawak tapi itulah realitinya menjadi IH ni, bukan senang nak galas watak Dr. Watson sebenarnya sebab anda perlu menjadi seseorang yang banyak akal & pintar!
Tenang it Perlu
Bagi memastikan IH ini dapat menjalankan tugas dengan cemerlang, keterlihatan atau Visibility itu amatlah diperlukan bagi memudahkan mereka dalam membuat perancangan & penguruskan hal-hal berkaitan insiden dan pelan yang berkaitan. Keterlihatan disini bukan bermakna teknikal sahaja, tapi melibatkan proses, prosedur dan juga peraturan dan undang-undang yang terpakai bagi organisasi. Kalau ditanya berapa banyak peralatan dalam rangkaian pon IH takboleh jawab, mmg bungkus balik awal la kalau bagi status update ke Ketua Jabatan, tak tanya lagi apa yang boleh kena saman bila ada kebocoran data.
PENUTUP & AKAN BERSAMBUNG….
Secara ringkasnya beban tugas IH ini lebih kepada pengurusan baik insiden, staf ataupun organisasi dalam menghadapi sesuatu insiden atau ancaman siber. Jadi ianya perlulah dilantik dari golongan yang mempunyai ciri ketangkasan, kritis dan kreatif dalam menyelesaikan sesuatu masalah yang unik. Kalau anda dilantik tapi tiada ciri-ciri diatas, maka ada baiknya minta tukar ataupun lebih baik tingkatkan modal insan diri sendiri supaya tidak berlaku zalim terhadap staf-staf bawahan terutamanya IR.
Post sambungan akan aku sentuh mengenai IR dan mungkin akan ada post khas berkenaan teknik asas analisis log seperti Sherlock Holmes yang boleh dijadikan bahan rujukan bila ada kes. Takdak la asyik cakap “tak reti baca log” memanjang iye dok?
Anda perlu berdaftar masuk untuk meninggalkan komen.