Forensic
Last updated
Last updated
Challenge | Link |
---|---|
-
Jadi flag ada di email , ada 2 bagian. Tapi saya nemu jadi 1. Karena kami gatau bagaimana request saat pengiriman email, jadi kami coba analisis requestnya dengan burpsuite.
Jadi ada di post sync/u/<int> . Cari req tersebut diwireshark
Hingga didapatkan 1 req yang memiliki flag. Copy jsonnya dan liat ada flag
Flag : IFEST22{Th3_tRutH_15_g3ner@LLy_s33n_@nd_RareLy_h3ard_yagesya}
-
Diberikan mem dump, lakukan analisis terhadap proses yang berjalan.
Karena deskripsi menjelaskan bahwa aplikasi ngoding yang biasa digunakan maka dari nama filenya kemungkinan adalah scripteditor.exe atau code.exe. Lakukan procdump untuk kedua proses tersebut
Setelah melakukan analisis unutk file exenya kami menemukan kejanggalan pada Code.exe (dibuild menggunakan c#). Disini kami menggunakn ilspy untuk decompile
Program tersebut menjalankan Code.ps1, jadi kami save resourcenya.
Lakukan binwalk dan kami mendapat Code.ps1
Sampai disini terlihat address dan port nya jadi tinggal gabunngkan dengan filename untuk mendapatkan flagnya
Flag : IFEST22{Code.exe_192.168.219.147_443}
Riil Kh? (364 pts)
Syntek Hospital's Evidence (Part 1) (456 pts)