Thailand CTF 2018 – My password collection (Write-up)
ในข้อนี้โจทย์มีชื่อว่า My password collection สามารถดาวน์โหลดโจทย์ได้ที่ลิงค์นี้ >>> disk.zip
ขั้นแรกให้ทำการแตกไฟล์ออกมาก่อน โดยใช้คำสั่ง unzip disk.zip จะได้ไฟล์ disk.dd ออกมา
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/2.png?resize=481%2C188&ssl=1)
ลองเช็คประเภทของไฟล์ดูก่อน โดยใช้คำสั่ง file disk.dd
จะเห็นได้ว่า Partition เป็น MSDOS ซึ่งจากประสบการณ์ ใช้ 7Zip แตกไฟล์ในคอมพิวเตอร์โดยตรงเลยง่ายกว่า 555+
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/3.png?resize=547%2C315&ssl=1)
เมื่อแตกไฟล์ใน Windows ด้วย 7Zip ก็จะได้ไฟล์ประมาณนี้
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/4.png?resize=545%2C150&ssl=1)
ไฟล์ข้างในแต่ละ Folder ก็จะได้ประมาณนี้
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/5.png?resize=382%2C312&ssl=1)
ทำการไล่เช็คประเภทของไฟล์ใน Document (เนื่องจากไม่มี .extension ทำให้ไม่ทราบได้ว่าเป็นไฟล์ประเภทอะไร)
โดยใช้คำสั่ง for f in Documents/*; do file $f; done
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/6.png?resize=681%2C93&ssl=1)
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/7.png?resize=634%2C114&ssl=1)
จะเห็นได้ว่าน่าสนใจทุกไฟล์เลย 55+ แต่เราจะทำการเช็ค 2 ไฟล์กันก่อน คือไฟล์ g ที่เป็นไฟล์ pdf และไฟล์ w ที่เป็น textfile
เมื่อดูข้อมูลใน textfile จะพบข้อความ VyAtMzAwClAgMApSIDI= ซึ่งแน่นอนว่ามันคือ base64 หลังจาก decode ก็จะได้ผลลัพธ์ตามรูปด้านบน
กลับไปดูอีกไฟล์ที่เป็น pdf ซึ่งจริงๆมันเป็นคำใบ้ในการเอา key ในขั้นต่อไป (จำรูปภาพ และ filters ด้านล่างไว้ให้ดีๆ 😁)
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/8.png?resize=740%2C458&ssl=1)
ไปดูที่อีกโฟลเดอร์บ้าง ในโฟลเดอร์ Pictures นั่นเอง เห็นอะไรแปลกๆมั้ยครับ 🙃
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/9.png?resize=740%2C199&ssl=1)
ใช่เลยครับ รูปแรกนี่แหละ เมื่อลองเปิดรูปดู จะเห็นว่าเหมือนมีข้อความโดนหมุนเป็นเกลียวอยู่!
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/10.png?resize=640%2C425&ssl=1)
จำไฟล์ pdf ที่เปิดก่อนหน้าได้ไหมครับ นั่นแหละ! มันคือคำใบ้!! อ้อ textfile อักอัน
ก่อนอื่นให้เปิดรูปด้วย Gimp ก่อนครับ จากนั้นไปที่ Filters → Distorts → Whirl and Pinch เพื่อจะทำการหมุนภาพกลับ
ซึ่งไม่ต้องไปงมให้เมื่อยว่าแต่ละค่าต้องหมุนไปที่เท่าไหร่ เพราะมันบอกไว้แล้วใน textfile ที่เป็น base64
จะได้ 4XAktWZ3tH7AHsO9
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/11.png?resize=740%2C311&ssl=1)
กลับไปดูใน Documents อีกรอบ จะเห็นว่าเหลืออีก 2 ไฟล์คือ f: openssl และไฟล์ p: Keepass
โดยไฟล์ f เป็น Encryption file แล้วจะแกะยังไง ในเมื่อไม่มี passphase 😂
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/12.png?resize=681%2C93&ssl=1)
งั้นกลับไปดูอีกไฟล์กันก่อน อันนี้ยอมรับว่าไม่รู้จัก เท่าที่ไปถามอากู๋มา ได้ความว่าเป็น Password Management ซึ่งส่วนตัวรู้จักแค่ Dashlane, 1Password และ Lastpass 555+
ทำการโหลด Keepass แล้วเปิดไฟล์ p โลดดดด ซึ่งจะเจอหน้าถามหา Master Password = =”
ลองเอา key ที่ถอดมาได้จากรูปภาพใส่ดู แล้วก็โป๊ะเชะ!
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/13.png?resize=653%2C291&ssl=1)
ด้วยความที่ไม่เคยใช้ ก็เลยลองเอาเมาส์ไปชี้เล่นๆดู เอ๊ะตรงนี้คืออัลไล (,__, )a เก็บไว้ก่อน
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/14.png?resize=476%2C187&ssl=1)
ลองดับเบิลคลิกเข้าไปดูใน Text file ซะหน่อย จะเห็นว่าตรงช่อง Notes: มันว่างๆเหมือนไม่มีอะไร แต่ทำไมมันยาวววววว 😶
เมื่อเลื่อนไปดูล่างสุด เหมือนจะเจอ key อีกแล้ว แต่มันไม่ใช่ flag !!!
UzE0f6Sb2ZvUtvsD
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/15.png?resize=489%2C513&ssl=1)
ตอนนี้ใน Documents ก็เหลือไฟล์เดียวแล้ว คือไฟล์ f: openssl
จากที่บอกข้างต้นว่ามันเป็น Encryption data ต้องใช้ key ในการ Decryption ซึ่งแน่นอนเหลือ key เดียวแล้วที่ยังไม่ได้ใช้ และเพิ่งแกะออกมาได้
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/16.png?resize=681%2C93&ssl=1)
ซึ่งในการ Decryption ต้องรู้ก่อนว่าใช้ Algorithm อะไร และแน่นอนว่ามันคือ AES-256-CBC ที่โจทย์ได้ทำการใบ้ไว้ใน Keepass
เมื่อทำการ Decrypt แล้วก็จะได้ Flag ออกมา 😎
THCTF{Uu5AzrJD3mMKDG0z}
![](https://i0.wp.com/blog.sornram9254.com/wp-content/uploads/2018/11/17.png?resize=705%2C111&ssl=1)