Hi everyone who might be reading this — it's my very first write-up, so apologies in advance if anything is unclear!
On July 26, 2024, I took part in the SEC PLAYGROUND Half Year CTF Event 2024.
It's a CTF competition on the Secplayground platform, open to anyone interested in Cyber Security — teams of up to 4.
This year's challenges covered both Offensive and Defensive categories including Web Application, Digital Forensics, Reverse Engineering, Cryptography, Network Analysis, Incident, and Hor D'oeuvres (appetiser-type challenges).
In this write-up I'm covering: Digital Forensics: Forensic File Hunt (Medium)
The challenge description hinted that we need to find an Excel file containing the flag — vibes from Ready Player One (https://www.imdb.com/title/tt1677720/): "Find the key, find the egg" — except here it's "Find the Excel, find the Flag."
Downloading the provided file — a massive 7.0 GB file.
The file is named SPGCTF.E01. Researching the E01 format reveals it's a forensic disk image used in digital forensics and cybersecurity — suitable for evidence preservation in court cases. Reference: https://files101.com/extension/e01
Knowing it's a disk image, we need a tool to open it. Research points to Autopsy (https://www.autopsy.com/) — a digital forensics platform. Import the file into Autopsy and off we go.
Inside Autopsy, there are many menu options — but since we're looking for an Excel file, we jump straight to the Documents section.
There it is — flag.xlsx. But if it were this easy it wouldn't be Medium difficulty. Export the file and open it…
The "flag" is literally flag imagery (the Excel is full of actual flag pictures). Time to use a hint. Hints cost: Easy = -1pt, Medium = -2pt, Hard = -3pt.
Password is in John — John probably means John The Ripper.
So we need to find an encrypted file in Autopsy. The Encryption Detected menu is perfect for this — and we find:
speedbird.zip and catdata.zip
Export them and crack the password using John The Ripper.
โจทย์สำหรับการแข่งขันปีนี้จะมีทั้งฝั่งของ Offensive และ Defensive ในหมวดหมู่ต่างๆ อาทิเช่น Web Application, Digital Forensic, Reverse Engineering, Cryptography, Network Analysis, Incident และสุดท้าย Hor D’oeuvres (อาหารเรียกน้ำย่อย) ตามซ้ายมือของรูปเลย
ใน Write Up นี้ผมจะมาในหัวข้อของ Digital Forensic: Forensic File Hunt (Medium)
เริ่มแรกโจทย์จะมีการอธิบายถึงช่องทางของการที่เราจะหา Flag ได้ โดยสรุปง่ายคือให้เราหาไฟล์ excel แล้วในนั้นจะมี Flag อารมณ์เหมือนหนังเรื่อง Ready Player One (https://www.imdb.com/title/tt1677720/)วลีเด็ดตอนแข่งรถ “ใครเจอกุญแจคนนั้นเจอไข่” ส่วนของข้อนี้ “ใครเจอ Excel คนนั้นเจอ Flag “
นั่นไงเราเจอไฟล์ flag.xlsx แล้วแต่เดี๋ยวก่อนถ้าหาเจอง่ายขนาดนี้จะเป็นข้อ Medium ได้ไง ลอง Export ไฟล์ออกมา
Flag จริงๆ มาเป็นธงชาติเลยก็จรองของเขานะ Flag แปลว่า ธง เอาละเมื่อเป็นแบบนี้ก็ต้องใช้ตัวช่วยละกด “Hint” ละกัน เงื่อนไขการกด Hint หาเป็นแบบง่ายจะถูกตัด 1 คะแนน Medium 2 คะแนน และ Hard น่าจะ 3 คะแนน
Password is in John เอิ่ม!!! พูดถึง John ก็น่าจะหมายถึง John Ripper หรือป่าวน้า