[Compfest X] – Firmware

August 12, 2018

Writeup CTF Compfest X : Firmware – Pada challenge ini diberikan sebuah file .bin yang merupakan firmware dari sebuah router.

Untuk menyelesaikan challange ini, pertama extract file tersebut dengan bantuan binwalk

binwalk -e firmware.bin

Setelah itu akan didapatkan file hasil extract.

Dari beberapa file, terdapat file yang mencurigakan yaitu vpnfilter. Setelah dilihat source nya, file ini merupakan file gambar yang menyimpan beberapa exif data. Untuk melihat exif data tersebut dapat menggunakan bantuan exiftool

Exiftools

Pada kolom comment terdapat sebuah Hint yang berisi URL ke pastebin (https://pastebin.com/yu5WpX9U)

Very cool. Huh? Have you found the Stage 2 C&C IP adress yet? Cuz flag format is:

Flag: CTFX{1mag3_GPS_iS_th3_k3y_[IP address of C&C server]}

Example: CTFX{1mag3_GPS_iS_th3_k3y_127.0.0.1}

Good Luck.

Setelah dibuka, terdapat potongan Flag (CTFX{1mag3_GPS_iS_th3_k3y_[IP address of C&C server]}) dan sebuah Hint. Untuk mendapatkan potongan flag yang kedua, harus dapat mencari alamat IP dari C&C server.

Setelah googling tentang vpnfilter, saya menemukan artikel yang menjelaskan tentang alamat IP C&C server dari vpnfilter (https://securelist.com/vpnfilter-exif-to-c2-mechanism-analysed/85721/)

Dari artikel tersebut, saya membuat sebuah tools sederhana

<?php

$o1p2 = (int)12; // Latitude
$o1p1 = (int)3; // Latitude
$o2p1 = (int)22; // Latitude

$o3p2 = (int)21; // Longitude
$o3p1 = (int)11; // Longitude
$o4p1 = (int)21; // Longitude

$octets[0] = $o1p1 + ( $o1p2 + 0x5A );
$octets[1] = $o2p1 + ( $o1p2 + 0x5A );
$octets[2] = $o3p1 + ( $o3p2 + 0xB4 );
$octets[3] = $o4p1 + ( $o3p2 + 0xB4 );

print_r($octets);

* Nilai dari variabel o1p2, o1p1,o2p1,o3p2,o3p1, dan o4p1 didapat dari GPS Location Latitude dan Longitude pada Exif Data.

Lalu jalankan tools tersebut