ctfs
  • 👋Hello!
  • 🏴Practice
    • 🌐Cryptohack
      • Introduction
      • General
        • Encoding
        • XOR
        • Mathematics
        • Data Formats
      • Symmetric Ciphers
        • How AES Works
        • Symmetric Starter
        • Block Ciphers 1
        • Stream Ciphers
      • Mathematics
        • Modular Math
        • Lattices
      • RSA
        • Starter
        • Primes Part 1
        • Public Exponent
    • 🌐PortSwigger
      • Path Traversal
      • File Upload
      • SSRF Attacks
    • 🌐TryHackMe
      • Basic Skills
      • Linux
      • Penetration Testing
      • Networking
      • OSINT
  • 🚩Competitions
    • 2025
      • 🇮🇩GKSK#9 Osintathon
        • Mudik Lebaran (100 pts)
        • Foto Patung (100 pts)
        • Kolektor Komik (100 pts)
        • Tolong Aku (100 pts)
        • Kencan Pertama (100 pts)
        • Nama Si Pelaku (100 pts)
        • Cekidot (100 pts)
        • Ledakan! (100 pts)
        • 🎹🎶 (100 pts)
        • Batu Besar (100 pts)
        • Komentar (100 pts)
        • Ini dimana? (100 pts)
        • Koordinat Foto Misterius (100 pts)
        • Bianglalaaa (100 pts)
        • Aku Hacker (100 pts)
        • Anjazzz (100 pts)
        • Dikirim Kakakku (129 pts)
        • Ingfo Loker (154 pts)
        • MISSING 00 (100 pts)
        • MISSING 01 (154 pts)
        • Siapa Aku? (154 pts)
      • 🇮🇩IFEST 13
        • Ququerer (250 pts)
        • Silent Trace (370 pts)
        • Nugas (Solved After Event)
        • Free Flag (280 pts)
        • Brute (Solved After Event)
        • Web V1 (Solved After Event)
        • Bypass (Solved After Event)
        • Orbiter (Solved After Event)
      • 🌐OSINT Combine (Wildlife)
        • Getting Started (100 pts)
        • Proper Poppy (100 pts)
        • Legendary Beasts (200 pts)
        • Shadow Fleet (200 pts)
        • Proper Poppy II (200 pts)
        • Not So Smug Smuggler (200 pts)
        • Icy (200 pts)
        • Forest Pals (200 pts)
        • Safari Time II (200 pts)
        • Sneaky! (200 pts)
        • Hello Friend (300 pts)
        • Busy As A (300 pts)
        • Get Rotated! (300 pts)
        • High Seas (300 pts)
        • Nocturnal (300 pts)
        • Safari Time (400 pts)
        • Peak Weather (400 pts)
        • Singsong (400 pts)
        • Falling Fell (500 pts)
        • Kitty Cats (500 pts)
      • 🇮🇩RECURSION
        • let him cook
        • Basic Math
        • Favourite Number
        • Zarrar Cipher (100 pts)
        • paBlue Team (100 pts)
        • [🩸] I wish I was there on December 21, 2024 (100 pts)
        • Small House (200 pts)
        • [🩸] Mission Difference (456 pts)
    • 2024
      • 🌐Santa Claus CTF
        • Complete Picture
        • Day 1 - Big Bang
        • Day 2 - The Summer Job
        • Day 3 - The Visitors
        • Day 4 - Happy Birthday
        • Day 5 - Say My Name
        • Day 6 - Say "Cheese"
        • Day 7 - Revealing Pixels
        • Day 8 - Connecting The Dots
        • Day 9 - 404 Not Found
        • Day 10 - Breaking News
        • Day 11 - Ayrton Santa
        • Day 12 - Lost and Found
        • Day 13 - Planespotting
        • Day 14 - Santa Surveillance
        • Day 15 - Shaken, Not Stirred
        • Day 16 - Status Update
        • Day 17 - Waste ...of Time
        • Day 18 - Lost in Translation
        • Day 19 - Santa's Clones
        • Day 20 - Losing Tracks
        • Day 21 - Sing my Song
        • Day 22 - Eagle Eye
        • Day 23 - Distances Matters
        • Day 24 - Mastermind
      • 🌐Cyber Jawara International
        • Stone Game (100 pts)
        • prepare the tools (176 pts)
        • Persona (484 pts)
      • 🌐OSMOSIS Precon CTF
        • 1 The art of espionage
        • # 2 The Hack
        • # 3 The rabbit hole
        • # 4 The Association
        • # 6 Where is number 5
        • # 5 Who is it
        • Too many Layers
        • The prize
      • 🇮🇩Intechfest
        • Sanity Check (100 pts)
        • Alin (113 pts)
        • GerakSendiri (106 pts)
        • Details (100 pts)
      • 🇮🇩COMPFEST 16
        • Let's Help John! (100 pts)
        • money gone, wallet also gone (100 pts)
        • head’s up! (493 pts)
        • CaRd (304 pts)
        • Sanity Check (100 pts)
      • 🇮🇩Gemastik
        • Baby AES (451 pts)
        • Baby Structured (100 pts)
      • 🇮🇩Technofair 11
        • Kenangan
        • Xorban
        • Marsha
        • Siap Tempur!!
        • eftipi
        • kurang berarti
        • DUMPling
        • Malicious
      • 🌐DIVER OSINT
        • chiban
      • 🇮🇩GKSK#8 Osintathon
        • Sport Location
        • Meklaren lu warna apa boss ?
        • Postcode
        • Rumah Minang
        • Latihan
        • Anak Misterius
        • Travelling Anywhere
        • The Thief
        • Danger Watch
        • Misteri Ruang Angkasa
        • Fun Walk
        • I am Late
        • My Oshi
        • Wellcome to my Youtube Channel
        • Pesan Tersembunyi Wingdings
        • Salah Fokus
        • Apa itu GKSK?
        • Foto Bersejarah
        • Picture
        • Nostalgia Child
        • oldschool
        • Summer Olympic
      • 🇮🇩Techcomfest
        • pemanasan
        • crackable
        • Kuli-ah forensik
    • 2023
      • 🇮🇩Cyber Jawara
        • daruma
      • 🇮🇩NCW
        • Simple (220 pts)
        • wangsaf (320 pts)
        • Sillyville Saga (220 pts)
        • Freminhelp (Solved after event)
      • 🇮🇩Hology 6
      • 🇮🇩SlashRoot 7
        • Summary (441 pts)
        • eeee (480 pts)
        • Zebra Cross (409 pts)
        • Waka Waka eh eh (185 pts)
        • ANABUL (250 pts)
      • 🇮🇩COMPFEST 15
        • not simply corrupted (316 pts)
        • Artificial secret (356 pts)
      • 🇮🇩Gemastik
        • easy AES
        • k-1
        • Gen Z
      • 🇮🇩TechnoFair 10
        • RSA Bwang
        • Marsah
        • rapsodi
        • Pengen Merch JKT 😢
        • space mono
        • file pemberian fans
        • bantu aku mencari sebuah rahasia
    • 2022
      • 🇮🇩NCW
        • sabeb64 (331 pts)
        • cakemath (451 pts)
        • Downloader (244 pts)
        • 199 passcode (Solved after event)
      • 🇮🇩TEDCTF
      • 🇮🇩Gemastik
      • 🇮🇩OSCCTF
      • 🇮🇩ARA
  • 🪦Old Hello
Powered by GitBook
On this page
  1. Competitions
  2. 2025
  3. IFEST 13

Silent Trace (370 pts)

PreviousQuquerer (250 pts)NextNugas (Solved After Event)

Last updated 26 days ago

A few days before he disappeared, a UI designer sent a project drawing to the security team, accompanied by a strange note: “Three cards appear in my dreams, The Magician, The Moon, and The Hermit. The letters dance, but only if you know which string to pull.” The drawing holds several clues. Some seem ordinary, but one of them records a trail that leads to a deeper communication, as if there is a hidden story behind it.

The trail leads you to a hidden message. Not a sound, not an image, just a small movement captured by an old device. Can you follow the movement to the end?

Author : p0t4rr

Kita diberikan sebuah bernama chal.jpeg. Sekilas, gambar ini tidak berkaitan dengan deskripsi soal.

Akan tetapi, setelah diekstrak menggunakan foremost, ditemukan bahwa gambar ini mengandung banyak log file.

Sesuai dengan petunjuk pada deskripsi (one of them records a trail that leads to a deeper communication), artinya ada satu data yang benar-benar nyata. Lalu, if you know which string to pull artinya adalah kita bisa mencari data tersebut dengan menebak-nebak stringnya.

Misalnya, saya telah mencoba melakukan grep secara rekursif pada semua file log, dengan beberapa keyword, mulai dari password, secret, domain, hingga menggunakan regex untuk mencari IP address yang beda dari yang lain. Pada akhirnya, saya berpikir bahwa karena di sini kebanyakan data dummy, dan parameter "ID" biasanya dibuat menjadi 1a2b3c..., saya terpikir untuk menggunakan regex data hexadecimal dan mencari data yang beda sendiri.

Berikut command yang saya gunakan: grep -o -P '\b[0-9a-fA-F]+\b' -r ..

Beginilah tampilan lognya.

Berikut tampilan file packet capturenya.

Karena ada hint "HID" dan ...a small movement captured by an old device... bisa kita asumsikan ini adalah capture dari gerakan sebuah mouse. Sebagai konfirmasi, kita dapat melihat data dari dua packet berikut.

Setiap packet yang dikirimkan dari 1.1.1 ke host memiliki HID data sebagai berikut.

Dengan begitu, kita tinggal mengimplementasikan sebuah script untuk menginterpretasikan data HID-nya.

from scapy.all import rdpcap, Raw
from PIL import Image

# Load packets from file
packets = rdpcap('challenge.pcapng')

mouse_events = []

for pkt in packets:
    # Filter by packet length
    if len(pkt) == 31:

        # Check if Raw layer exists
        if Raw in pkt:
            HID_data = bytes(pkt[Raw].load)[-4:]
            mouse_status = (HID_data[0], HID_data[1], HID_data[2])
            mouse_events.append(mouse_status)


# Implementation from https://res260.medium.com/usb-pcap-forensics-graphics-tablet-nsec-ctf-2021-writeup-part-2-3-9c6265ca4c40

# Adjust the dimensions
img = Image.new('RGB', (8000, 4000), color='white')
canvas = img.load()

# Start the cursor in the center
mouse_x = 4000
mouse_y = 2000

def to_signed_8bit(n):
    return n - 256 if n > 127 else n

for data in mouse_events:
    # Get the left mouse button status
    left_button_pressed = data[0]

    # Get the mouse movement in x and y
    x_offset = to_signed_8bit(data[1])
    y_offset = to_signed_8bit(data[2])

    mouse_x += x_offset
    mouse_y += y_offset

    if left_button_pressed:
        # These two for loops are to make the pixels thicker
        for i in range(5):
            for j in range(5):
                # Write a black pixel on the canvas
                canvas[round(mouse_x) + i, round(mouse_y) + j] = (0, 0, 0)

# Save the image to disk
img.save("result.png")

Berikut adalah hasilnya.

Flag: IFEST13{1_l1k3_dr4w1ng}

Jika dibaca satu per satu, semua file log ini punya informasi tersendiri. Setiap file merupakan log yang berbeda. Ada yang log Windows, log Linux, log Docker, log SMTP, log AWS, dll. Namun, hal yang terpenting adalah, sebagian besar data yang ada di file-file log ini adalah data dummy. Kita bisa melihat mac address yang terkesan dibuat-buat, IP range yang antara privat atau , domain yang kebanyakan adalah example.com, dan lain-lain.

Mengunjungi tersebut, kita akan mendapatkan sebuah link Google Drive.

Di , kita mendapatkan sebuah file pcapng dengan hint "HID".

Merujuk pada dan , HID data untuk mouse dapat diinterpretasikan sebagai berikut.

🚩
🇮🇩
reserved
link
sini
write-up ini
dokumen ini
file