Monstrum ex Machina で用いたファイルについて、 実行しないべきだったプログラムのmd5sumを要求された。
The SUM of All FEARS における解析結果では、ファイル secret_decoder.bin の存在も示唆されていた。
pcap-challenge-final.pcapng に strings コマンドを適用した結果から secret_decoder.bin を検索すると、以下の部分が見つかった。
Regarding the file used in Monstrum ex Machina, the md5sum of the program that shouldn't have been executed was asked.
The analysis in the challenge The SUM of All FEARS is suggesting that there is a file secret_decoder.bin.
I searched for secret_decoder.bin from the output of the strings command for the file pcap-challenge-final.pcapng, and found this part:
The SUM of All FEARS で行ったのと同様に、ip.addr == 192.168.100.103 && tcp.port==49652 を適用し、データを保存した。
保存されたデータは194バイトのELFファイルだった。
このELFファイルを readelf -a コマンドで解析すると、エントリポイントは 0x400078 であることがわかった。
さらに、
I applied a filter ip.addr == 192.168.100.103 && tcp.port==49652 on
As a result, a 194-byte ELF file was saved.
Applying readelf -a command to this ELF file revealed that the entry point is 0x400078.
Also I disassembled the file via objdump in
結果のうち、アドレス78以降の部分は以下のようになった。
The result from the address 78 was:
これをC言語風に書き下すと、以下のようになった。
I transcripted this like C. This is the result:
何をしているのかはよくわからなかったが、/bin/sh を含んでおり、とにかく怪しそうである。
このファイルのMD5より、flagが得られた。
It was unclear for me what this is doing, but this contains /bin/sh and looks suspicious anyway.
I obtained the flag from the MD5 of this file.