Silent Trace (370 pts)

A few days before he disappeared, a UI designer sent a project drawing to the security team, accompanied by a strange note: “Three cards appear in my dreams, The Magician, The Moon, and The Hermit. The letters dance, but only if you know which string to pull.” The drawing holds several clues. Some seem ordinary, but one of them records a trail that leads to a deeper communication, as if there is a hidden story behind it.

The trail leads you to a hidden message. Not a sound, not an image, just a small movement captured by an old device. Can you follow the movement to the end?

Author : p0t4rr

Kita diberikan sebuah file bernama chal.jpeg. Sekilas, gambar ini tidak berkaitan dengan deskripsi soal.

Akan tetapi, setelah diekstrak menggunakan foremost, ditemukan bahwa gambar ini mengandung banyak log file.

Jika dibaca satu per satu, semua file log ini punya informasi tersendiri. Setiap file merupakan log yang berbeda. Ada yang log Windows, log Linux, log Docker, log SMTP, log AWS, dll. Namun, hal yang terpenting adalah, sebagian besar data yang ada di file-file log ini adalah data dummy. Kita bisa melihat mac address yang terkesan dibuat-buat, IP range yang antara privat atau reserved, domain yang kebanyakan adalah example.com, dan lain-lain.

Sesuai dengan petunjuk pada deskripsi (one of them records a trail that leads to a deeper communication), artinya ada satu data yang benar-benar nyata. Lalu, if you know which string to pull artinya adalah kita bisa mencari data tersebut dengan menebak-nebak stringnya.

Misalnya, saya telah mencoba melakukan grep secara rekursif pada semua file log, dengan beberapa keyword, mulai dari password, secret, domain, hingga menggunakan regex untuk mencari IP address yang beda dari yang lain. Pada akhirnya, saya berpikir bahwa karena di sini kebanyakan data dummy, dan parameter "ID" biasanya dibuat menjadi 1a2b3c..., saya terpikir untuk menggunakan regex data hexadecimal dan mencari data yang beda sendiri.

Berikut command yang saya gunakan: grep -o -P '\b[0-9a-fA-F]+\b' -r ..

Beginilah tampilan lognya.

Mengunjungi link tersebut, kita akan mendapatkan sebuah link Google Drive.

Di sini, kita mendapatkan sebuah file pcapng dengan hint "HID".

Berikut tampilan file packet capturenya.

Karena ada hint "HID" dan ...a small movement captured by an old device... bisa kita asumsikan ini adalah capture dari gerakan sebuah mouse. Sebagai konfirmasi, kita dapat melihat data dari dua packet berikut.

Setiap packet yang dikirimkan dari 1.1.1 ke host memiliki HID data sebagai berikut.

Merujuk pada write-up ini dan dokumen ini, HID data untuk mouse dapat diinterpretasikan sebagai berikut.

Dengan begitu, kita tinggal mengimplementasikan sebuah script untuk menginterpretasikan data HID-nya.

from scapy.all import rdpcap, Raw
from PIL import Image

# Load packets from file
packets = rdpcap('challenge.pcapng')

mouse_events = []

for pkt in packets:
    # Filter by packet length
    if len(pkt) == 31:

        # Check if Raw layer exists
        if Raw in pkt:
            HID_data = bytes(pkt[Raw].load)[-4:]
            mouse_status = (HID_data[0], HID_data[1], HID_data[2])
            mouse_events.append(mouse_status)


# Implementation from https://res260.medium.com/usb-pcap-forensics-graphics-tablet-nsec-ctf-2021-writeup-part-2-3-9c6265ca4c40

# Adjust the dimensions
img = Image.new('RGB', (8000, 4000), color='white')
canvas = img.load()

# Start the cursor in the center
mouse_x = 4000
mouse_y = 2000

def to_signed_8bit(n):
    return n - 256 if n > 127 else n

for data in mouse_events:
    # Get the left mouse button status
    left_button_pressed = data[0]

    # Get the mouse movement in x and y
    x_offset = to_signed_8bit(data[1])
    y_offset = to_signed_8bit(data[2])

    mouse_x += x_offset
    mouse_y += y_offset

    if left_button_pressed:
        # These two for loops are to make the pixels thicker
        for i in range(5):
            for j in range(5):
                # Write a black pixel on the canvas
                canvas[round(mouse_x) + i, round(mouse_y) + j] = (0, 0, 0)

# Save the image to disk
img.save("result.png")

Berikut adalah hasilnya.

Flag: IFEST13{1_l1k3_dr4w1ng}