0: Het labyrint van Cyber Knossos

In dit labyrint hebben een aantal challenges zich verscholen. De flags hebben een vast formaat, dat lijkt op het voorbeeld hieronder:

SUMMERSCHOOL{D3Z3_TELT_N1ET}

Behalve de challenges die je in dit labyrint kan vinden, zijn er ook enkele flags te verdienen met verborgen easter eggs in de site. Deze flags vergen wat speurwerk en out-of-the-boxdenken. Vind jij ze allemaal?

Soms zijn er voor een challenge extra hints beschikbaar. Om spoilers te voorkomen zijn die altijd gecodeerd in base64.

Vlaggen

1. 686bd55195ab0f099c31a0201d96189204a18af1
2. a3613f6281813ffc65ca70001a2fae716db0116b
3. 60d56c1c4fea2bfb7f6645a39fa931dea8158cdd
4. a6c38938c9eca7893df654d8eabdb6c9afd8c20b
5. 45a0ce5a50a7c0060a3df7f04181e553f3e6dd53
6. 6e6aa025fb1fe866b401ac35d42bb993f1457979
7. 14dab9a00c0f7485e09bdf7e94cd2f7a2c17a8ec
8. 6912260a350cd2a1f450dff57928822ae3c693d3

Hints

1. S2lqayBlZW5zIGFhbiEgSmUgZWVyc3RlIGhpbnQK
2. T21kYXQgamUgem8gZmFuYXRpZWsgYWFuIGhldCBiYXNlNjQgZGVjb2RlbiBiZW50LCBrcmlqZyBqZSBoaWVyIGVlbiBncmF0aXMgZmxhZzogU1VNTUVSU0NIT09Me0lzX2JBc0U2NF9DcllwVG8/fQo=

1: Raven van Odin

De Noordse god Odin heeft een digitale aanval gepleegd. Kan jij op basis van deze Zeek logs helpen onderzoeken wat er is gebeurd?

1. De aanval is begonnen met een scan. Geef de betrokken IPs, gescande poorten en open poorten.
2. Wie was de target van de phishingmail? Geef de betrokken e-mailadressen en IPs.
3. Op welke manier wordt de malware opgehaald? Geef het procool, de betrokken IPs en bestandsnamen.
4. Wat kan je vinden over de beacons? Geef het protocol, de betrokken IPs en de periodiciteit.
5. Welke data wordt geëxfiltreerd? Geef het protocol, de betrokken IPs en de bestandsnaam.

De flag voor deze challenge is het antwoord op de laatste vraag, dus de bestandnaam in het flagformat.

Bestanden

1. RavenvanOdin.zip
   checksum (SHA256): 8d9080cad2cf1fab41f084b9752fe20e070f4435272387a24d31609c90f342a9

Vlaggen

1. 7b403fe9e22076d8d8c7fe01a3d74894d3a0dcc0

Hints

1. R2VicnVpayB6ZWVrLWN1dCBvbSByZWxldmFudGUga29sb21tZW4gaW4gZGUgbG9ncyB0ZSBzZWxlY3RlcmVuLgo=

2: Tartarus

Toen Sisyphus aankwam in de Tartarus om voor eeuwig een rotsblok een steile berg op te duwen, was een programmeur met CyberChef het enige wat hij daar aan trof. Bekijk dit netwerkverkeer en zoek de flag.

Let op: in CyberChef zelf zitten ook diverse puzzels verstopt, waarvan het startpunt naar de JavaScript console wordt gelogd. Die puzzels hebben dus niets te maken met deze challenge.

Bestanden

1. tartarus.pcap
   checksum (SHA256): 7b91dabe89c5f195de588c53c2f59004d3b3895e3cb148b258fa319c6f5acfc6

Vlaggen

1. 657c1c2aeccaf820e523c95c3cdc91c9ee1e56b7

Hints

1. S2VuIGplIGRlIGhhbmRpZ2UgdG9vbCBDeWJlckNoZWYgYWw/Cg==

4: Mímir's Maze

Mimir murmelt…

Bestanden

1. mimir.tgz
   checksum (SHA256): 70b175544c9b46553c8da5ebc7f686554eb30a15c280a2024c0768a9f74c023b

Vlaggen

1. 95016509b0b81fd374766bbd34f579b628d12852
2. 057c20f3a33eab2bdd0b496f187eade8f5f52939
3. 22921b90600c1b851715111f025e258ae3b4c91e
4. 741405975b4e201683441230ac30fc16462877aa

Hints

1. U3RhYXQgZXIgZWVuIHBvcnQgb3Blbj8K

5: The Three Personal Charities (3PC)

ETETAATAAAAAAAAAAAAAAAAAAAAAAAAAAAAAETETAATAAEAEAAAAAAAAAAAAAAAAAAAAAAAAETETAATAAAEEEAAAAAAAAAAAAAAAAAAAAAAAETETAATAAATTTAAAAAAAAAAAAAAAAAAAAAAAETETAATAAEATTAAAAAAAAAAAAAAAAAAAAAAAETETAATAATEAAEAAAAAAAAAAAAAAAAAAAAAAETETAATAAATETAAAAAAAAAAAAAAAAAAAAAAAETETAATAAEATTAAAAAAAAAAAAAAAAAAAAAAAETETAATAAEETTAAAAAAAAAAAAAAAAAAAAAAAETETAATAAATETAAAAAAAAAAAAAAAAAAAAAAAETETAATAAAEETAAAAAAAAAAAAAAAAAAAAAAAETETAATAATEAEAAAAAAAAAAAAAAAAAAAAAAAETETAATAATTTTAAAAAAAAAAAAAAAAAAAAAAAETETAATAAETTTAAAAAAAAAAAAAAAAAAAAAAAETETAATAAAEAAEAAAAAAAAAAAAAAAAAAAAAAETETAATAATAAAEAAAAAAAAAAAAAAAAAAAAAAETETAATAATEETAAAAAAAAAAAAAAAAAAAAAAAATTAAAETEETTAAAAAAAAAAAAAAAEAAAAAAAAATTAAATTEAEAAAAAAAAAAAAAAAAAAAAAAAAAETTEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEETAEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE

Bestanden

1. tome.pdf
   checksum (SHA256): bb37795ceab6ddb9a5a47a11d1087839630356f5fe1a8c6b0c7d1f71466bf403
2. nbbs-1.0.0-py3-none-any.whl
   checksum (SHA256): ad5fbcf05bc16ba988275685dc83878a6dabda45fe198efb905e0bdb59c69cfa

Vlaggen

1. 0357d8d8d40271dbd630d0ff2972b5348182d510
2. 74db43855facae05e865bec6a7c54fc45669475f
3. e23725ee23b09ba6f7f247232870c4a12723a9d5
4. 42c158b485acf880d4f2229881561ff9c4f2db0c
5. 89e3c8f1fe6a1c2cc07292fba15779fa8800f29d
6. ca8a12084ed3ff1879b103e9321398ad17f77b20

Hints

1. VGhlIGNoYXJpdGVzIGhhdmUgcHJvdmlkZWQgc3VmZmljaWVudCBjaGFyaXRpZXMuCg==

6: De Doos van Pandora

Zeus is een god met snode plannetjes. Als een ware oppergod besteedt hij zijn werk graag uit. Zo gaf hij de broers Prometheus en Epimetheus de opdracht om de mens te maken. Promotheus en Epimetheus wilden hun creatie, de mens, graag gelukkig zien en brachten hen vuur - gestolen vanuit de hemel. Dit laatste maakte Zeus woest. Echter, in plaats van zijn emoties bespreekbaar te maken, richtte hij zich tot politieke spelletjes en conflictvermijdend gedrag. Als onderdeel van zijn list liet Zeus de god Hephaistos een vrouw vormen uit water en aarde en noemde haar Pandora. Andere goden gaven Pandora positieve karaktereigenschappen mee. De god Hermes deed ook een duit in het zakje en gaf Pandora een eigenschap die nog geen enkele sterveling had: nieuwsgierigheid.

Zeus probeerde Pandora aan Prometheus te schenken. Echter, Prometheus was (terecht) te achterdochtig. Zijn broer Epimetheus daarentegen accepteerde het kado en trouwde met Pandora. Ter felicitatie gaf Zeus het echtpaar een geschenk: de doos van Pandora. Deze doos bevatte allerlei narigheid en ellende. Zolang de doos gesloten zou blijven, zouden de stervelingen hier geen last van ondervinden. Prometheus hield zijn vrouw en de doos in de gaten en stopte Pandora wanneer zij de doos probeerde te openen. Pandora kon haar nieuwsgierigheid echter niet bedwingen en opende de doos waardoor de rampen, ziektes en zorgen konden ontsnappen. Vanaf dat punt was het zorgeloze bestaan van de mens ten einde gekomen. Uit schrik klapte Pandora de doos dicht, waardoor hoop als enige in de doos achterbleef.

Jij hebt nu de doos van Pandora in handen. Kun jij je nieuwsgierigheid bedwingen?

Bestanden

1. DoosVanPandora
   checksum (SHA256): 5661cd93ff1fe5f3ce7c2ad804fe98b1815d8de9ee254dd3fcd745dfcbad314c

Vlaggen

1. 484b4f1092b98174a875679a1316ab316b850e60
2. 9cd4a016c67157776f3fb85d79ef22f300774b0e
3. 48fdc7606ab3b031c00357aa6643cbbef21a6a0a
4. b609a60d457b4414c4af44f75d460e2a8e1eef6b

Hints

1. TGlua2luZyBpc3N1ZXM/IFJ1biBtZXQgYGRvY2tlciBydW4gLXYgJFBXRDovYXBwIC1pdCBweXRob246My44IC9hcHAvRG9vc1ZhblBhbmRvcmFgLgo=
2. RmxhZ3MgemlqbiBoaW50cy4K
3. V2FhciBzcGVlbHQgZGl0IHZlcmhhYWwgemljaCBhZj8K

7: Twaalf Toetsen van Vimakles

Een van onze targets, codenaam VIMAKLES, is onderdeel van een APT die we tracken. VIMAKLES doet dat natuurlijk niet op haar eigen laptop thuis; ze logt altijd in op een gehuurde cloudserver, om vanaf daar allerlei aanvallen in te zetten.

We zijn in een positie om netwerkverkeer van en naar deze cloudserver af te tappen, en zo mee te kijken met alles dat de actor doet. Helaas is de performance van deze netwerktap niet altijd even geweldig: soms treedt er wat packet loss op op onze apparatuur, waardoor we een deel van het verkeer missen. Kun jij alsnog achterhalen wat de actor hier precies deed?

Bonusvraag: welk encryptie-algoritme gebruikt de actor, en met welke key?

Bestanden

1. vimakles.pcapng
   checksum (SHA256): dfecd80864734b2cb4f96fdaa38102caeaa66d43ca3dc926bf8111fd714abb94

Vlaggen

1. 389c5c5e6f22f9604f3e2531dda1284d5b89e7eb
2. 5f6379de424387909236671bd635a6c8e1246e03
3. daa908688701fb15d4af4a7cf439f94f76e287d1
4. 7649e1cd1a9ef1227cf76b9cdc589b2d44238168

8: Mnemosyne

Dit is een moeilijke onderzoekschallenge. Ben je een beginner? Dan kan je beter beginnen met een andere challenge.

Het bedrijf Mnemosyne B.V. is een ABRO bedrijf. Zij verkopen hun super veilige software aan de overheid. Hun meest verkochte product, Mnemosyne, is een softwareproduct waarmee overheidsorganisaties op een veilige manier bestanden kunnen opslaan en delen.

Een systeembeheerder heeft onlangs hun nieuwe softwareproduct in beta gezet om te testen op mnemosyne.summerschool.sh. Om zeker te weten dat alles goed werkt en dat ze kan troubleshooten als iets fout gaat, heeft ze een PCAP gemaakt. Toen ze die PCAP bekeek zag ze verdacht verkeer. Ze heeft daarom direct een memory snapshot gemaakt van de server en heeft jou gebeld voor hulp.

De systeembeheerder vertelt je het volgende:

• Het IP-adres van de Mnemosyne server is 172.16.89.143; daar draait het domein op mnemosyne.summerschool.sh. Op de server staat de nieuwste versie van hun Mnemosyne softwareproduct.
• De server is in gebruik door de directeur van hun bedrijf: Erik. Als het goed is heeft hij een account in de applicatie, aldus de systeembeheerder.
• Het andere account is van de systeembeheerder zelf. Zij gebruikt dat account alleen maar om een beetje rond te spelen, niet voor serieuze dingen.
• De systeembeheerder heeft tcpdump gedraaid op de Mnemosyne-server. Ze was oplettend en heeft het PID van haar proces genoteerd: 938. Naar dat process hoef je dus niet te kijken. Tijdens het opzetten van de server heeft ze ook een of twee keer ingelogd.

Kan jij met de memory snapshot, de Volatility3 symbols en de pcap ons vertellen of er iets aan de hand is? Je mag maximaal vijf pagina’s, inclusief screenshots, gebruiken om onderstaande vragen te beantwoorden.

Let op! Deze challenge bevat malware. Doe dit onderzoek in een veilige omgeving, bijvoorbeeld in een VM.

Deze challenge is gebouwd en getest met Volatility3 versie 2.11.0. Als je problemen hebt met de challenge, gebruik dan die versie. De Volatility3 waarschuwing: ‘No metadata file found alongside VMEM file.’ kan je gewoon negeren.

1. Zijn er verdachte processen op het systeem te zien?
   Hint: we hebben ook de Volatility3 symbols ter beschikking gesteld. Weet je niet waar je moet beginnen? Lees dan eens wat Volatility3 allemaal kan doen.
2. Wat is de C2 server van de malware die op Mnemosyne draait? Hoe heb je deze gevonden?
3. Hoe is de malware op het systeem gekomen? Beschrijf de kwetsbaarheid/-heden die de aanvaller heeft gebruikt om RCE te krijgen.
4. Naast de malware, heeft de aanvaller iets achtergelaten op het systeem dat er niet thuis hoort? Beschrijf hoe je dit hebt gevonden en of het cadeautje van de aanvaller effectief is.
5. Wat is het logo van Mnemosyne dat in het marketingdocument is getekend? Beschrijf hoe je aan dit logo bent gekomen en waar de sleutel vandaan komt.
6. Wat is de flag?

Bonusvraag: geef hier aan wat je nog verder kwijt wilt over de challenge, hoe je dingen hebt aangepakt of wat je is opgevallen.

Bestanden

1. capture.pcap
   checksum (SHA256): 7199bc81c6f2e51eccce96618314934c8e92c38a4ca90d1b95c309828f97d169
2. memory_image.vmem.gz
   checksum (SHA256): c0963c0d70a9c608240d2d95a8c849cd93df8b35d3558db4d9fc7e9f6c3cb3e3
3. Ubuntu_5.15.0-130-generic_5.15.0-130.140_amd64.json.xz
   checksum (SHA256): 62f332ab13d46814a5178d10dc45ee69159a248a160521b2a4ef86c2e8239085

Vlaggen

1. e83c085b6f1d4daef2ee6669aee57012b87c5206

9: Layered Services of Asgard

Tijdens het intercepteren van online verkeer hebben we iets merkwaardigs waargenomen. Thor is het namelijk niet eens met Odin en heeft besloten te vertrekken naar Olympus. Eenmaal hier aangekomen is het Zeus die hij hier treft. Door dit verkeer te analyseren kun je nagaan hoe Odin heeft gesproken met Zeus. Hoe loopt dit verhaal af?

Bestanden

1. scan.pcap
   checksum (SHA256): 461ec4b14e32543bf2fad48bdc49961c4b54cc8d913e032869985464d4101d95

Vlaggen

1. 508a160b4df46978bf0b3d21f83007c25c7475a4
2. aa6545df6a75e05ce8bda6b73a86899f6977f341
3. 3f5b001e0dcb50e225a47234703873dcde663e62

Hints

1. Vm9vciB2bGFnIDIgZW4gMyB2YW4gZGV6ZSBjaGFsbGVuZ2UgaGViIGplIGVlbiBpbnRlcm5ldHZlcmJpbmRpbmcgbm9kaWcuCg==
2. VmxhZyAzIGlzIHZlcmJvcmdlbi4K

10: Shady Business

In het huis van de goden fluistert men op de wandelgangen over het bestaan van een schimmige groepering met een voorliefde voor wachtwoorden. ̔Ερμης is op onderzoek uitgegaan en is gestuit op een zeer verdachte computer. Er is heimelijk een image gemaakt van deze computer en deze is afgeleverd voor analyse. Volg de schaduwen en breek de encryptielagen om de groepsfoto van de duistere hackers te ontmaskeren.

Bestanden

1. shady_business.zip
   checksum (SHA256): b4ac4117d69f427f15d87abae12121c3d506f11c5ee2472fddd80cf9f7d62563

Vlaggen

1. 39e8391894ac7c3ced1a869110d744da392f2682
2. 4bca2c0086e39ebe84d93aa54ceb52a6fab82390
3. 74dd8e6d48267bbf72ba99f432e9d2257990a74b

Hints

1. SmUga3VudCBkZSBxY293Mi1kaXNrIGFhbiBlZW4gVWJ1bnR1IDIwIFZNIGhhbmdlbiBtZXQgdmlydC1tYW5hZ2VyLiBKZSBrdW50IGhldCBiZXN0YW5kIG9vayBvbXpldHRlbiBuYWFyIGVlbiBWREkgdm9vciBWaXJ0dWFsQm94IG9mIFZNREsgdm9vciBWTXdhcmUuCg==

11: Rockende Roc

Roc, de mythische vogel uit de Arabische wereld, ook bekend uit een zeker attractiepark, moet vanavond naar een rockconcert aan de andere kant van de Aarde. De vlucht is lang en het zwaaien van vleugels die zo groot zijn dat ze zonsverduisteringen veroorzaken kost veel energie. Roc moet van tevoren dus voldoende olifanten eten. Help Roc met de olifantenjacht zodat de vogel op tijd kan rocken!

Bestanden

1. roc
   checksum (SHA256): 2305eadc81f9bf358c768714a02348167ddddea63e771badc2064070a44e703f

Vlaggen

1. 97cbf356614a339fb866bc8dd23ec192c80c6c4c
2. fe70e5084630e4fcaaeffa89e7c03ad1579ca394
3. df3f2730a5b9b6abe8fd3db8056d8c05936f82c8
4. 00f0612cd2c3bfa3aae6a113d2df4a725a8d2c6b
5. f0da26814e63d3788a8107d7dabaf32aab9310c5
6. 74251aaf2f240786cde5353952c72c687ff7a437
7. 46acc9d182b9cf5b6625318ad2b6e66c73dd0dbd

Hints

1. TGFhZCBoZXQgYmVzdGFuZCBpbiBqZSBmYXZvcmllcmUgZGlzYXNzZW1ibGVyLiBaaWUgamUgd2F0IGplIG1vZXQgZG9lbiBvbSB2ZXJkZXIgdGUga29tZW4/Cg==

101: Easter Egg #2

Gefeliciteerd! Je hebt een easter egg gevonden!

U1VNTUVSU0NIT09MezM2MF9XNExMX0g0Q0taenpfMzYwfQo=

Hier is een handig scriptje om makkelijk te checken of je vlaggen kloppen.

-

check

Vlaggen

1. 14dab9a00c0f7485e09bdf7e94cd2f7a2c17a8ec