119 words
1 minute
TCTT25 Forensics: Shadow-Hive
Shadow-Hive [300pts] - Digital Forensics Write-up
โจทย์
หมายเหตุ รูปแบบของ Flag ที่เป็นคำตอบของข้อนี้คือ flag{message}
ดาวน์โหลดไฟล์
| ไฟล์ | ดาวน์โหลด |
|---|---|
| Challenge Files | 📥 Download from GitHub |
ข้อสังเกต
- ไฟล์ที่ได้รับเป็นไฟล์ .img ต้องทำ Image Forensics (ใช้ Autopsy)
- พบไฟล์
Shadow-Hive-Infection.hivเป็น Registry Hive ของ Windows - ค้นหา strings พบค่า
ShadowDecryptor - Key ShadowDecryptor Value ถูกเข้ารหัสไว้
แนวคิดการแก้โจทย์
1. แปลงไฟล์ .hiv ด้วย hivexml
hivexml Shadow-Hive-Infection.hiv > hive.xml2. ค้นหาคำที่น่าสงสัย
grep -ni "shadow\|flag\|decrypt" hive.xml3. พบ Key ที่น่าสงสัย คือ ShadowDecryptor
4. ถอดรหัส Base64 ด้วย CyberChef
นำค่าที่ถูกเข้ารหัสมาถอดรหัสด้วย CyberChef (Magic) สามารถถอดรหัสจาก Base64 ได้ข้อความ ดังนี้
5. วิเคราะห์ PowerShell Script
จากการวิเคราะห์ข้อความ พบว่าเป็น PowerShell Script และมีการใช้ AES-CBC + PKCS7
Key = 4B4b4b4b4B4b4B4B4b4B4b4b4b4B4B4bIV = "shadow_hive_regi" (.Substring(0,16) คือการเอา substring เริ่มที่ index 0 ยาว 16 ตัวอักษรของ shadow_hive_registry_aes)Ciphertext = 'dZDm9yXHjlQ1DrXRfINop2Wi9aUDw8ttxyLjn7obyIE='6. ถอดรหัส Ciphertext ด้วย CyberChef
สูตร:
- From Base64
- AES Decrypt (AES-CBC | Key 4B4b4b4b4B4b4B4B4b4B4b4b4b4B4B4b (HEX) | IV shadow_hive_regi (UTF-8/Latin1))
ผลลัพธ์
ถอดรหัส Ciphertext ด้วย Key + IV ที่ได้ด้วย CyberChef ได้ Flag:
flag{Shadow_Hive_Registry_AES}Credits
Writeup by netw0rk7 | Original Repo
TCTT25 Forensics: Shadow-Hive
https://blog.lukkid.dev/posts/tctt25-forensics-shadow-hive/