Luciafer's Cryptoware IOC 2
ファイル fkduohv-d-jhvfklfnwhu-wr-gdun-dqjho-01.oodev
が与えられ、ファイル名の復号結果を要求された。
Luciafer's Cryptoware ということから、Decrypting Lytton Labs Cryptoware 1 で与えられた実行可能ファイルのGhidraによる逆コンパイル結果を参照すると、
main.main
関数において、main.findFilesWithExt
関数で拡張子 .llabs
のファイルを探した後、main.rotateText
関数を呼び出しているようだった。
main.rotateText
関数を見ると以下の行があり、ROT13のような処理をしていると推測できた。
A file fkduohv-d-jhvfklfnwhu-wr-gdun-dqjho-01.oodev
was given, and the decrypted name of file was asked.
Since the challenge description said "Luciafer's Cryptoware", I referred the executable file used in Decrypting Lytton Labs Cryptoware 1, decompiled via Ghidra.
I found the function main.main
searching for files with extension .llabs
using the function main.findFilesWithExt
, and calling the function main.rotateText
after that.
Looking at the function main.rotateText
, I found this line and I guessed that the function is doing something like ROT13.
uVar3 = (int)((uint)(byte)(cVar2 - 0x27) + param_3 % 0x1a) % 0x1a;
CyberChefでファイル名にROT13をかけると、Amount: 23 で拡張子が .llabs
となった。
この時の変換結果に基づき、flagが得られた。
I applied "ROT13" to the name of the file on CyberChef. As a result, the extension became .llabs
when I set the Amount to 23.
I obtained the flag from the conversion result in this setting.
ROT13 - CyberChef
flag{charles-a-geschickter-to-dark-angel-01.llabs}
writeup by MikeCAT
DEADFACE CTF