→ ruCTF-2011 Quals - Forensic 300

| No TrackBacks

Так сложилось, что данный таск выполнила только наша команда.

На самом же деле, таск достаточно прост.
1. Просматриваем файлы, находим \homedir\AppData\Local\Temp\log.kla. Судя по всему, это лог трояна. Видим пару паролей. А также использование Mozilla Firefox.
2. Идем в профиль FF, \homedir\AppData\Roaming\Mozilla\Firefox\Profiles\t2ejstbt.default\, забираем sqlite базы.
3. Качаем SQLiteStudio
4. В таблицах cookies / places находим, что пользователь посещал mail.ru, losangeles.com, love.qip.ru, loveplanet.ru.
5. В таблице formhistory видим два логина - ructfmaster и ctfboy.
6. Пароль из лога трояна "master" подходит к аккаунту ructfmaster на mail.ru.
7. Второй логин зарегистрирован на love.qip.ru
8. На странице пользователя http://love.qip.ru/page/ctfboy легко находится ответ: "Welcome to the desert... of the real."

No TrackBacks

TrackBack URL: http://smokedchicken.org/m/mt-tb.cgi/48

About this Entry

This page contains a single entry by Павел Збицкий published on February 27, 2011 10:56 PM.

IDA signatures for MFC v8 was the previous entry in this blog.

Nuit du Hack (NdH2k11) - crypto300 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.