f250 – Dump

Home / Wiki / f250 – Dump

f250 – Dump

> ASIS CTF > ASIS CTF Quals 2015 > f250 - Dump

Where is flag?

file

Solução

Ao abrir o arquivo, podemos ver que se trata de um dump de VirtualBox SavedState V2.0. Inicialmente achamos que daria pra analisar com o Volatility, mas como estava em formato “raw“, não foi possível. O amigo \0x29a pesquisou e achou um write-up da edição de 2014 do ASIS CTF, onde também utilizaram um dump desse tipo. Lá conseguimos uma tool para fazer parser e extrair o que realmente era interessante.

Obtivemos os seguintes arquivos após a extração:

Pesquisando pela palavra “ASIS”, encontramos algumas strings interessantes no file dump-pgm.out, mas que não levavam a lugar algum:

Ficamos um bom tempo parados aqui, sem evolução. Todos links estavam offline e estávamos sem ideias.

TheZakMan chegou, salvou todo o conteúdo desse dump em um .txt, e analisando ele, acabou achando o script em python que foi usado acima, cujo pedia a key: “Please enter the access key: “. Ele utilizou o site http://pythoniter.appspot.com/ para ajeitar o código, e a missão então era fazer um reversing das funções e descobrir a flag:

Gilgamesh e g3ol4d0 trabalharam nesta etapa, acabando de resolvê-la praticamente juntos. Uma das soluções segue abaixo:

Flag

ASIS{632253c69a6049594bc303f0af0042b8}

Feito por

CTF-BR Team

 

Recent Posts