
The 2016 SANS Holiday Hack Challenge Write-Ups (Part 1/5)
Incognito Lab
Introduction
เพิ่งจบไปไม่นานครับ กับกิจกรรม SANS Holiday Hack Challenge ของปี 2016 ซึ่ง SANS มีจัดกิจกรรม Capture The Flag (CTF) แบบนี้เป็นประจำทุกปี และรางวัลของกิจกรรมปีนี้ มีด้วยกันทั้งสิ้น 10 รางวัล โดยประกอบด้วย
– 7 รางวัลแรกจะเป็น NetWars T-Shirt ซึ่งได้มาจากการ random ชื่อผู้ได้รับรางวัลจากคนที่ส่ง report ไปทันเวลาก่อนจะหมดช่วงกิจกรรม (ถึงแม้จะทำไม่ผ่านเลยซักข้อก็ตาม ส่ง report ไปก็มีสิทธิ์ที่จะได้รางวัล
– 2 รางวัลถัดมา คือ The best technical answer และ The most creative answer อันนี้จะได้เป็นสิทธิ์การใช้งาน NetWars Continuous เป็นระยะเวลา 4 เดือนด้วยกัน ($2000+)
– รางวัลใหญ่ที่สุด คือ รางวัล Grand Prize Winner โดยสามารถเลือกเรียน SANS Online Training course ใดก็ได้ 1 course ฟรี !! (ราคา course ของ SANS ก็จะอยู่ประมาณ $5000+)
โดยกิจกรรมที่ผ่านมาถึงแม้จะผ่าน Deadline ไปแล้ว แต่ยังสามารถเข้าไปเล่นกันได้อยู่นะครับ รวมถึงของปีล่าสุดที่เพิ่งจบไปด้วยเช่นกัน ซึ่งสามารถเข้าไปดูโจทย์ได้จาก Link นี้นะครับ
รายละเอียดของโจทย์ CTF ปีนี้นะครับ (ดูโจทย์ได้ที่นี่ https://holidayhackchallenge.com/2016/index.html) โดยในปีนี้จะมาในรูปแบบของ เกมส์ RPG 8 bits (https://quest2016.holidayhackchallenge.com/) ที่มีเนื้อเรื่องว่า Santa Claus ได้หายตัวไปก่อนช่วง Christmas ที่จะมาถึง เรามีหน้าที่ที่จะต้องช่วยเหลือสองพี่น้อง Docsis เพื่อหาตัว Santa Claus ให้พบ และหาว่าผู้ที่อยู่เบื้องหลังเหตุการณ์ครั้งนี้คือใคร !! โดยการค้นหาคำตอบนี้จะต้องผ่าน Quest ย่อยต่างๆ ซึ่งจะต้องใช้ความรู้ด้าน Security ในการหาคำตอบ
โดยปริศนาหลัก ๆ ที่เราต้องแก้จะแบ่ง เป็น 5 Parts ดังนี้ครับ
Part 1: A Most Curious Business Card Part 2: Awesome Package KonveyancePart 3: A Fresh-Baked Holiday Pi Part 4: My Gosh… It’s Full of Holes Part 5: Discombobulated Audio
ซึ่งทาง Incognito Lab จะทะยอยเขียน Write-Ups แต่ละ Part ออกมานะครับ
หมายเหตุ** Write-Ups ทั้งหมดต่อไปนี้เป็นเพียงแค่ **วิธีหนึ่ง ในการแก้ปัญหาโจทย์เท่านั้นนะครับ อาจจะไม่ใช่วิธีที่เร็วที่สุดหรือดีที่สุด ดังนั้นท่านไหนมีวิธีที่ Creative กว่าก็สามารถมาแลกเปลี่ยนกันได้นะครับ ?
Part 1: A Most Curious Business Card
ใน Write-Ups จะขอข้ามรายละเอียดของเนื้อเรื่องไปนะครับ (สามารถไปอ่านได้ในโจทย์เพื่อเพิ่มอรรถรสในการเล่นมากยิ่งขึ้น) จะเน้นเฉพาะส่วนที่เกี่ยวข้องกับโจทย์ปัญหาแทน โดยใน Part แรกนั้น มีสอง ปัญหาที่จะต้องหาคำตอบให้ได้ คือ
- What is the secret message in Santa’s tweets ?
- What is inside the ZIP file distributed by Santa’s team ?
มาเริ่มจากข้อแรก…
- ในตอนแรกเมื่อเข้ามาในเกมส์ ตัวละครก็จะอยู่ในห้อง ๆ หนึ่งครับ ในห้องก็จะพบ Card ของ Santa ตกอยู่ เมื่อ Click ไปที่ Card ก็จะเห็นประมาณนี้
จะพบว่า Twitter ของ Santa คือ @santawclaus - เข้าไปดู Tweets ของ Santa รูปแบบคล้าย ๆ ประโยคอะไรซักอย่างติดกันยาว ๆ โดยไม่มีเว้นวรรคประมาณ 350 Tweets แต่เมื่อลองอ่านดูแล้วก็พบว่าไม่ได้มีความหมายอะไรซักเท่าไหร่นัก
- เก็บ Tweet ของ Santa ทั้งหมดมาเพื่อที่จะหา Secret Message ที่ซ่อนไว้ต่อไป แต่ตอนที่กำลังเก็บอยู่กลับพบว่า… (รูปข้างบนนี้หมุนรูปจากแนวตั้งมานะครับเพื่อให้อ่านง่ายขึ้น) Tweet ของ Santa เมื่อนำมาเรียงกันแล้วจะได้เป็น Secret Message นั้นเองครับ
ข้อแรกผ่านไป เรามาหาคำตอบข้อที่สองต่อกันเลยดีกว่า… ว่าแต่ zip ไฟล์อยู่ที่ไหนกัน ตั้งแต่เริ่มเกมส์มายังไม่เห็นเลย..
- จาก Business Card ของ Santa นั้นจะเห็นว่านอกจากมี Twitter ที่มี Secret Message อยู่ ยังมี IG ของ Santa อยู่อีกด้วยซึ่งก็คือ @santaclaus ที่ยังไม่ได้เข้าไปสำรวจ.. อาจจะพบข้อมูลอะไรดี ๆ บ้าง ก็เป็นได้…
- จากรูปทั้งหมดใน IG ของ Santa หากสังเกตดูดี ๆ แล้ว จะพบว่า มีรูปหนึ่ง ที่น่าจะมีข้อมูลดี ๆ อยู่ ซึ่งก็คือ รูปนี้ครับ
จากรูปจะเป็นรูปโต๊ะของ Elf ที่ทำงานให้ Santa คาดว่าคงจะเป็น Admin ที่ดูแลระบบเป็นแน่แท้ หากสังเกตุดูดี ๆ แล้ว จะพบจุดที่น่าสนใจสองจุดด้วยกันครับ จุดที่ 1 (SantaGram*v4.2.zip) จะเห็นชื่อไฟล์ .zip ที่ตามหาอยู่***…_ และ**จุดที่ 2 คือ Website Website หนึ่ง (www.northpolewonderland.com) แต่หากลอง Browse เข้าไปเฉย ๆ ก็จะพบแค่ Business Card ของลุง Santa ที่เคยเห็นกันมาแล้ว - ได้ข้อมูลมาตั้งสองอย่างแล้วจะทำยังไงดี… ทดสอบเอามาต่อกันครับ.. Browse ไปดูที่ http://www.northpolewonderland.com/SantaGram_v4.2.zip Bingo !! ได้ไฟล์ zip มาเรียบร้อย
- สุดท้าย ไฟล์ zip ที่ได้มานั้นถูก Encrypt ด้วย Password อยู่ ซึ่งจะต้องใช้ Password ที่อยู่ใน Secret Massage คือ "bugbounty**" ที่ได้มาจากข้อแรกในการ Extract ครับ เมื่อ Extract ออกมาแล้วก็จะพบไฟล์ **SantaGram_4.2.apk อยู่ข้างใน

Sans
Summary
- What is the secret message in Santa’s tweets ?
Answer BUGBOUNTY - What is inside the ZIP file distributed by Santa’s team ?
Answer SantaGram_4.2.apk
Part 1: A Most Curious Business Card** จบไปแล้ว รอติดตาม **Part 2: Awesome Package Konveyance กันต่อไปนะครับ
Up Next

ARTICLES
Feb
25
2021
Incognito Mode EP1
สำหรับใน EP 1 นี้ได้คุณพรสุข มาบรรยายในหัวข้อ Thailand's Cyber
READ MORE

ARTICLES
Jan
27
2021
Difference between Single-stage Ransomware and Multi-stage Ransomware
องค์กรที่มีแผนรับมือ(Incident Response) กรณีการโจมตีของ Ransomware Attack ต้องเริ่มมาทบทวนแผนกันใหม่นะครับเนื่องจากรูปแบบการโจมตีของ attackers มีชั้นเชิงที่จะบีบบริษัทหรือองค์กรที่ตกเป็นเหยื่อมากยิ่งขึ้น
READ MORE

ARTICLES
Jan
27
2021
VA/Pentest Service FAQs
บทความนี้อยากทำให้ผู้อ่านได้เข้าใจถึง VA/Pentest Service ซึ่งเป็น Service หลักของ Incognito Lab
READ MORE