1. Latar Belakang

Vm Baru dari vulnhub kali ini berjudul SkyDog Con CTF 2016 – Catch Me If You Can. CTF ini di angkat dari sebuah film berjudul catch me if you can Terdapat 8 Flags yang harus kita capture, Flag tersebut :

Flag#1 - "Don’t go Home Frank! There’s a Hex on Your House"
Flag#2 - “Obscurity or Security? That is the Question"
Flag#3 - “During his Travels Frank has Been Known to Intercept Traffic"
Flag#4 - “A Good Agent is Hard to Find"
Flag#5 - “The Devil is in the Details - Or is it Dialogue? Either Way, ifit’s Simple, Guessable, or Personal it Goes Against Best Practices"
Flag#6 - “Where in the World is Frank?"
Flag#7 - “Frank Was Caught on Camera Cashing Checks and Yelling - I’m The Fastest Man Alive!"
Flag#8 - “Franks Lost His Mind or Maybe it’s His Memory. He’s Locked Himself Inside the Building. Find the Code to Unlock the Door Before He Gets Himself Killed!"

2. Flag 1

Seperti biasa, langkah awal adalah melihat port apa saja yang terbuka, dengan menggunakan nmap

screen-shot-2016-11-24-at-7-49-33-pm

Tampak adanya port http 80 dan 443, kemudian ada port 22222 SSH, selanjutnya saya gunakan nikto untuk scan port http, tidak ada yang menarik.

Selanjutnya saya browse menggunakan web browser yang keluar keterangan mengenai CTF ini, tidak menarik, namun setlah saya buka menggunakan “page source” saya menemukan sesuatu yang menarik

screen-shot-2016-11-24-at-8-16-40-pm

setelah saya buka ../oldIE/html5.js keluarlah tampilan ini

screen-shot-2016-11-24-at-8-20-18-pm

terlihat adanya HEX value di baris pertama kemudian saya decode keluarlah flag pertama :

flag{7c0132070a0ef71d542663e9dc1f5dee}, 

value md5 ini saya decrypt, menggunakan MD5 Decrypter keluarlah “nmap”

3. Flag 2

Kemudian saya menelusuri SSH yang berada di port 2222

screen-shot-2016-11-24-at-8-57-16-pm

Langsung terlihat disini flag ke 2 yaitu Flag{53c82eba31f6d416f331de9162ebe997}, saya decrypt menggunakan md5 hasilnya adalah encrypt” 

4. Flag 3 “Be Careful Agent, Frank Has Been Known to Intercept Traffic Our Traffic”

Dilihat dari judul flag 3, terdapat kata intercept traffic apakah saya gunakan wireshark? Namun ada baiknya saya melakukan enumurasi dulu ke port http 443 ssl, dengan menggunakan nikto

screen-shot-2016-11-24-at-9-04-25-pm

sangat ajaib,  dengan menggunakan nikto dapat terbaca flag3{f82366a9ddc064585d54e3f78bde3221} dengan kemudian menggunakan md5  Decrypter  hasilnya adalah “personnel” 

5. Flag 4 “A Good Agent is Hard to Find”

Seperti keseringan CTF, hasil decrypt flag3 yaitu “personnel” kemungkinan besar adalah nama directory,

screen-shot-2016-11-24-at-9-27-32-pm

 

Ternyata benar, namun sayang sekali ACCESS DENIED, setelah bmencoba berbagai cara, akhirnya saya kembali ke file java script yang didapat ketika mendapatkan flag1, yang nama filenya adalah ../oldIE/html5.js . setelah membaca baris per baris saya menemukan informasi yang menarik

screen-shot-2016-11-24-at-10-01-23-pm

Tampaknya web site ini bisa diakses hanya dengan menggunakan Ineternet Explorer 4 (IE4) dan ada nya email ‘doug.perterson@fbi.gov

Selanjutnya saya merubah user agent saya di web browser menjadi Mozilla/4.0 (compatible; MSIE 4.01; Windows NT 5.0) keluarlah tampilan ini

screen-shot-2016-11-25-at-4-04-25-pm

Disebelah kanan bawah terdapat flag{14e10d570047667f904261e6d08f520f} dan tulisan”Clue = new+flag”, kembali menggunakan MD5 Decrypter

keluarlah evidence 

clue = new+evidence

6. Flag 5″ The Devil is in the Details – Or is it Dialogue? Either Way, if it’s Simple, Guessable, or Personal it Goes Against Best Practices”

Newevidence kemungkinan besar nama sebuah directory, ternyata benar, akan tetapi yang keluar adalah sebuah login, sampai titik ini saya benar benar kebingungan sampai akhirnya saya kembali menonton film ini, kita tau karekter utamanya bernama Carl Hanratty dan seperti contoh alamat email yand didapatkan dari script sebelumnya format user name di FBI ini adalah “nama depan.nama blakang“, kemungkinan besar username nya adalah “carl.hanratty“.

screen-shot-2016-11-25-at-6-32-36-pm

Passwordnya adalah sesuatu yang personal, simple dan mudah ditebak, sesuai petunjuk diatas setelah berbagai macam cara akhirnya saya berhasil masuk dengan menggunakan nama anak perempuanya Carl Hanratty bernama Grace 

screen-shot-2016-11-25-at-7-28-48-pm

Terdapat Flag didalam link Evidence Summary File flag{117c240d49f54096413dd64280399ea9} menggunakan MD5 Decrypter isinya panam

Didalam link kedua terdapat gambar “image.jpg” dan link ketiga berisikan invoice dalam bentuk file pdf.

7. Flag6 “Where in the World is Frank?”

Didalam link ke dua terdapat file jpg, saya periksa file gambar ini dengan berbagai macam tool termasuk exiftool tetapi tidak menghasilkan apa-apa file gambar ini sebesar 4.1mb sangat mencurigakan. Kemudian di link kedua terdapat file pdf yang isinya :

screen-shot-2016-11-25-at-7-56-14-pm

Terdapat nama Stefan Hetzl, kemudian saya lakukan google search “Stefan Hetzl encryption” ternyata beliau ini pembuat tool steganography bernama Steghide tool ini singkatnya digunakan untuk menyembunyikan file didalam sebuah file (kira-kira begitu) saya install “Steghide” di kali linux kemudian saya gunakan dengan file “image.jpg” yang hasilnya seperti ini :

screen-shot-2016-11-25-at-8-02-09-pm

Passphrase yang saya gunakan adalah “panam” yang membuah kan hasil flag{d1e5146b171928731385eb7ea38c37b8} = ILoveFrance dan clue=iheartbrenda

8. Flag#7 – “Frank Was Caught on Camera Cashing Checks and Yelling – I’m The Fastest Man Alive!”

Kalimat I’m the Fastes Man Alive ! diatas mengingatkan saya dengan the flash. Kalau sudah pernah melihat film nya kita tahu salah satu nama samaran yang dipakai adalah Barry Allan nama asli The Flash, setelah mencoba berbagai macam cara, akhirnya saya dapatkan bahwa Barry Allan dapat digunakan untuk login ssh di port 22222, dan menggunakan password “iheartbrenda”

screen-shot-2016-11-28-at-4-09-53-pm

Setelah berhasil mendapatkan akses, saya lakukan listing ternyata ada file bernama flag.txt yang isinya flag{bd2f6a1d5242c962a05619c56fa47ba6} menggunakan MD5 decrypter isinya  “theflash”

9. Flag 8 “Franks Lost His Mind or Maybe it’s His Memory. He’s Locked Himself Inside the Building. Find the Code to Unlock the Door Before He Gets Himself Killed!”

Terdapat sebuah file bernama “security-system.data” yang setelah saya periksa ternyata sebuah zip file kemudian saya lakukan unzip, tampak nya ini sebuah file image, dengan menggunakan sebuah tool bernama volatility 

Screen Shot 2016-11-28 at 4.18.05 PM.png

dengan menggunakan tool yang sama dan sedikit melakukan experiment dengan switch-switchnya saya mencoba melihat lebih jauh saya menemukan file yang menarik bernama code.txt

screen-shot-2016-11-28-at-4-46-41-pm

Disini kita dapat melihat isi dari code.txt, berupa HEX, hex tersebut saya terjemahkan kemudian keluarlah hasil sebagai berikut :

screen-shot-2016-11-28-at-4-53-20-pm

flag{841dd3db29b0fbbd89c7b5be768cdc81}  dengan menggunakan MD5 Decrypter kita saya tidak mendapatkan apa-apa, ya sudah lah yang penting ke delapan flagnya sudah terkumpul.

10. Kesimpulan

VM dari vulnhub ini terasa sekali permainanya, terus terang saya agak malas menyelesaikan ctf yang bertema seperti ini, CTF ini  pasti akan sangat susah diselesaikan apabila belum melihat film nya, tatapi bukanya tidak bermanfaat, di sini saya jadi mengetahui forensic tool seperti volatility dan sebagainya

Wassalam

-Akhmad Zaki

Advertisements