baby serial let-the-penguin-live Kiểm tra thông tin file mkv đề choffprobe -hide_banner challenge.mkv Input #0, matroska,webm, from 'challenge.mkv': Metadata: title : Penguin COMMENT : EH4X{k33p_try1ng} MAJOR_BRAND : isom MINOR_VERSION : 512 COMPATIBLE_BRANDS: isomiso2avc1mp41 ENCODER : Lavf62.3.100 Duration: 00:01:03.02, start: 0.00000..

ExfilKhi Follow TCP Stream thì mình phát hiện ra có 1 IP đang thử tấn công web bằng SQLiMình sẽ filter để các gói tin của địa chỉ IP 192.168.1.50 Có thể thấy hacker đã chạy reverse shell, ngay bên dưới là kết nối reverse shell luônNhận được key và cipher text, giải mãenc_hex = "2e195405354a402366402a524734671f395a5a323e451e625d2c2507142b504a27064a" key = b"Kj7mN2pQ9sR4vX8y" enc = bytes.fromhex(e..

FindItV2Bài này thuộc dạng Version Control nên mình sẽ check lịch sử docker trướcdocker history --no-trunc ph4 n10 m1808/findit IMAGE CREATED CREATED BY ..

Đề bàiGiảiBài này cho mình Memory File của Windows$ file MEMORY.DMP MEMORY.DMP: MS Windows 64bit crash dump, version 15.7601, 2 processors, DumpType (0x1), 524158 pagesVới Mem File thì mình sẽ tiếp tục dùng Volatility3 thôipslist$ vol3 -f MEMORY.DMP windows.pslistVolatility 3 Framework 2.26.2/home/kali/volatility3/volatility3/framework/deprecation.py:105: FutureWarning: This plugin (PluginRequir..

Đề bàiGiảiBài này cho mình một file NoStarWhere.pcapng, chắc là "Không sao đâu 🐧"Ở đây mình sẽ xem nó bao gồm những file gìCó một file là Danh sách phòng thi.xlsCó vẻ file này đã bị hỏng, mình sẽ dùng olevba để check qua xem$ olevba Danh%20s%C3%A1ch%20ph%C3%B2ng%20thi.xls olevba 0.60.2 on Python 3.13.7 - http://decalage.info/python/oletools=======================================================..

Đề bàiGiảiĐề bài cho mình một file capture.pcap, mình sẽ sử dụng NetworkMiner để check trướcVậy là sơ qua thì có thể thấy mình thu được 2 file là ELF và ZipKhi mở file ELF bằng IDA thì mình có thấy một đoạn string là S3cr3tP@ss nhưng có vẻ nó không phải mật khẩu cho file zip, chắc là mật khẩu cho cái gì đó, mình sẽ giữ lại để xem sauTiếp theo mình phát hiện nó còn xuất hiện chuỗi: Usage: %s [ -c..

Đề bàiGiảiĐề bài cho mình một file docx$ file emo.doc emo.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 10.0, Code page: 1252, Subject: Handmade Argentina Handcrafted Frozen Towels yellow Frozen virtual Guatemala array Lesotho JBOD, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Fri Oct 30 23:48:00..

Đề bàiGiảiỞ đây khi mình tải file của challenge về sẽ nhận được một file excel .xlsm$ file invoice-42369643.xlsm invoice-42369643.xlsm: Microsoft Excel 2007+Khi mở file này lên nó sẽ yêu cầu một số quyền "Enable" và sẽ sinh ra một file .hta$ file LwTHLrGh.hta LwTHLrGh.hta: HTML document, ASCII textKhi mình đọc source file này thì nó sẽ là HTML Application với VBScriptĐối với VBScript thì mình sẽ..

Đề bàiGiảiBài này cho mình một memory files, vậy đầu tiên mình sẽ xem danh sách tiến trình trướcVolatility 3 Framework 2.26.2PID PPID ImageFileName Offset(V) Threads Handles SessionId Wow64 CreateTime ExitTime File output4 0 System 0x8378ed28 87 475 N/A False 2022-12-15 06:08:19.000000 UTC N/A Disabled252 4 smss.exe 0x83e7e020 2 29 N/A False 2022-12-15 06:08:19.000000 UTC N/A Disabled320 312 csr..

Đề bàiGiảiNó cho mình một file hash.txt, mình sẽ dùng john để crack passwd do tên đề là thế luôn┌──(kali㉿kali)-[/BuckeyeCTF 2025/forensics/zip2john2zip]└─$ # 1) Save the hashcat > hash.txt Nhận được passwd là factfinder, sau đó mình sẽ từ hash $pkzip2$ và mật khẩu factfinder, giải mã trực tiếp phần dữ liệu thì nội dung flag.txt┌──(kali㉿kali)-[/BuckeyeCTF 2025/forensics/zip2john2zip]└─$ python3 e..