CorporateSecrets
Q1 What is the current build number on the system?
16299
Q2 How many users are there? 6
Q3 What is the CRC64 hash of the file "fruit_apricot.jpg"?
- Click chuột phải vào file đó.
- Chọn mục 7-Zip (Hoặc Show more options -> 7-Zip nếu dùng Windows 11).
- Chọn CRC SHA > Chọn CRC-64.
CRC64 là checksum để kiểm tra lỗi.
Q4 What is the logical size of the file "strawberry.jpg" in bytes?
Q5 What is the processor architecture of the system? (one word)
ControlSet001\Control\Session Manager\Environment
Q6 Which user has a photo of a dog in their recycling bin?
ta tìm thấy con chó là của user: 10051
Navigate tới: SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
Ta biết là hansel.apricot
Q7 What type of file is "vegetable"? Provide the extension without a dot.
Parent Path .\Users\miriam.grapes\Pictures\
Dùng exiftool ta nhận được
7z
Q8 What type of girls does Miriam Grapes design phones for (Target audience)?
Q9 What is the name of the device?
Data DESKTOP-3A4NLVQ
Q10 What is the SID of the machine?
Key Name S-1-5-21-2446097003-76624807-2828106174
Q11 How many web browsers are present?
firefox, chrome, tor, internet explorer, omni
Q12 How many super secret CEO plans does Tim have? (Dr. Doofenshmirtz Type Beat)
4
Q13 Which employee does Tim plan to fire? (He's Dead, Tim. Enter the full name - two words - space separated)
Q14 What was the last used username? (I didn't start this conversation, but I'm ending it!)
Kiểm tra lại C:\Users\jim.tomato
Q15 What was the role of the employee Tim was flirting with?
Q16 What is the SID of the user "suzy.strawberry"?
Q17 List the file path for the install location of the Tor Browser.
C:\Program1
Q18 What was the URL for the Youtube video watched by Jim?
https://www.youtube.com/watch?v=Y-CsIqTFEyY
Dùng history của chrome
Q19 Which user installed LibreCAD on the system?
miriam.grapes
Dùng MFT
Q20 How many times "admin" logged into the system?
vào SAM account
Q21 What is the name of the DHCP domain the device was connected to?
fruitinc.xyz
Q22 What time did Tim download his background image? (Oh Boy 3AM . Answer in MM/DD/YYYY HH:MM format (UTC).)
04/05/2020 03:49
Q23 How many times did Jim launch the Tor Browser?
C:\Users\jim.tomato\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Tor Browser\Browser\firefox.exe
Q24 There is a png photo of an iPhone in Grapes's files. Find it and provide the SHA-1 hash.
Loại A: Nhồi nhét cấu trúc (File Appending / EOF)
- Cách hoạt động: Hacker lấy một file ảnh hợp lệ, kéo xuống tận cùng của file đó (End of File - EOF) và dán (append) mã vạch (hex) của một file khác (ví dụ: một file
.zip,.exehoặc đoạn text) vào ngay bên dưới. - Kết quả: Trình xem ảnh vẫn mở bức ảnh lên bình thường vì nó sẽ ngừng đọc khi gặp cờ "Kết thúc ảnh", bỏ qua đoạn mã độc đính kèm phía sau.
Loại B: Giấu tin vào điểm ảnh (True Steganography)
- Cách hoạt động: Dữ liệu bị băm nhỏ và giấu vào các bit màu của bức ảnh.
- Định dạng PNG/BMP (Lossless): Thường dùng kỹ thuật LSB (Least Significant Bit). Hacker thay đổi bit cuối cùng của mỗi điểm ảnh (pixel). Mắt người không thể nhận ra sự khác biệt về màu sắc, nhưng các đoạn bit đó ghép lại sẽ thành một file bí mật.
- Định dạng JPG (Lossy): Vì JPG nén ảnh bằng cách vứt bỏ dữ liệu thừa, nếu dùng LSB thì file bí mật sẽ bị hỏng. Thay vào đó, chúng giấu tin vào các hệ số nén (DCT coefficients).
- Định dạng WebP: Có thể áp dụng cả hai cách trên (tùy thuộc vào WebP đang nén lossy hay lossless), hoặc giấu vào thẻ metadata (EXIF/XMP).
Cách xử lý
- Quét cấu trúc (Loại A): * Dùng
binwalktrên máy Kali.- Nếu muốn làm trên Windows, hãy mở file đó bằng
HxD(Hex Editor mà bạn có ở thư mụcMiscellaneous). Cuộn xuống cuối cùng xem có đoạn text nào dạng rõ, hoặc có header lạ nào bị dính ở đuôi không.
- Nếu muốn làm trên Windows, hãy mở file đó bằng
- Giải mã Pixel (Loại B):
- Nếu là JPG/WebP: Dùng công cụ
steghide(trên máy Kali) để thử extract. Lệnh:steghide extract -sf samplePhone.webp(Nó có thể đòi mật khẩu). - Nếu là PNG: Dùng công cụ
zstegtrên máy Kali. Nó chuyên trị LSB.
- Nếu là JPG/WebP: Dùng công cụ
Dùng binwalk
ta thấy có một file ảnh được giấu ở vị trí 0x174A tương đương 5962
dùng dd:
dd if =samplePhone.webp of=hidden_image.png bs=1 skip=5962
537fe19a560ba3578d2f9095dc2f591489ff2cde
Q25 When was the last time a docx file was opened on the device? (An apple a day keeps the docx away. Answer in UTC, YYYY-MM-DD HH:MM:SS)
Extension Last Opened 2020-04-11 23:23:36
Vào recentdocs của jim.tomato
Q26 How many entries does the MFT of the filesystem have?
219904
Dùng mfpdump.py
Q27 Tim wanted to fire an employee because they were ......?(Be careful what you wish for)
stinky
Q28 What cloud service was a Startup item for the user admin?
Vào key run của admin
Q29 Which Firefox prefetch file has the most runtimes? (Flag format is )
Source Filename FIREFOX.EXE-A606B53C.pf/21
Q30 What was the last IP address the machine was connected to?
192.168.2.242
Không tìm được kết quả này
Q31 Which user had the most items pinned to their taskbar?
C:\Users\USERNAME\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
Lần lượt tìm cho những người dùng khác
admin
Q32 What was the last run date of the executable with an MFT record number of 164885? (Format: MM/DD/YYYY HH:MM:SS (UTC).)
Dùng mFT để tìm file, sau đó dùng prefetch xác định thời gian cuối cùng chạy
04/12/2020 02:32:09
Q33 What is the log file sequence number for the file "fruit_Assortment.jpg"?
1276820064
Dùng MFT
Q34 Jim has some dirt on the company stored in a docx file. Find it, the flag is the fourth secret, in the format of <"The flag is a sentence you put in quotes">. (Secrets, secrets are no fun)
ta tìm trong recycle bin phát hiện một số file nghi vấn
Kiểm tra bằng binwalk
Tiếp tục kiểm tra bằng exitftool phát hiện file xml là file docx
Customer data is not stored securely
Q35 In the company Slack, what is threatened to be deactivated if the user gets their email deactivated?
kneecaps