19 November 2016 - 04:10:32 - Read: 390

Writeups CDC 2016 - Ransomed

Untuk task ini lupa deskripsinya gimana tadi? Challenges udah ditutup, jadi dah gak sempat keterangan lengkapnya. Karena aku hampir gak membuka interface webnya. Semua dilakukan langsung dari SSH nya.

$ cat /var/www/html/index.php

di encrypt.

iseng liat kali aja ada aktivitas ransom yang masih running

$ ps aux

nemu process yang namanya mencurigakan.

root     36687  0.0  0.3   9520  2004 ?        S    Nov17   0:00 /bin/bash /var/waspada/backup_access_log.sh

$ cat /var/waspada/backup_access_log.sh
#!/bin/bash
while [ true ]
do
if [ `ps ax | grep "tail -f /var/log/apache2/access.log" | grep -v
grep | wc -l` == 0 ]; then
tail -f /var/log/apache2/access.log >>
/var/lib/backup/backup.access.log
fi
sleep 1
done

logs apache di backup di /var/lib/backup/backup.access.log

$ cat /var/lib/backup/backup.access.log

-- terlalu banyak logs --

tapi ada sebuah request mencurigakan dengan dengan parameter GET "ransomkey"

$ cat /var/lib/backup/backup.access.log | grep ransomkey

ada banyak request dengan GET ?ransomkey=
coba satu persatu, ketemu

$ curl
http://62.4.3.124/?ransomkey=CDC2016-B7IEG47EXGFVBGOC
DXCRA0E13VDSXMY0A6EJD5HLICHA0OHQ&file=index.php
-- too much html --

$ wget
http://62.4.3.124/?ransomkey=CDC2016-B7IEG47EXGFVBGOC
DXCRA0E13VDSXMY0A6EJD5HLICHA0OHQ&file=index.php

$ cat
index.html\?ransomkey\=CDC2016-B7IEG47EXGFVBGOCDXCRA
0E13VDSXMY0A6EJD5HLICHA0OHQ | grep CDC2016

Done.

Flag: CDC2016{C0d3.is.Poetry.Like.As.A.Snow.Po3m}