The Cogs of Blackmail

Flag: HACKDAY{dllCeption-be9746fa-d0f7-4761-a5ba-0e461a162877}

Challenge

Description


In a city where steam and gears govern the world, a major steampunk company named SteamVault Industries dominates the market for mechanical inventions. You are a cybersecurity expert serving the citizens of this futuristic city.

One morning, Victor Gearstone, the chief system administrator of SteamVault, receives an anonymous message from a hacker claiming to possess compromising images of his wife. In exchange for silence, the hacker demands that Victor grant them permanent access to the company’s internal system, jeopardizing critical industrial secrets. Panicked, Victor turns to you to investigate and determine whether the hacker’s claims are genuine or a sophisticated lie.

Your mission is to inspect the received files, analyze the malware sent by the hacker, and uncover the truth. Everything must be done with precision and discretion.


sha256 : ae50d86ac083698999075e8cdf4aac49ff6f1f93622753b04a5cd122155bcd06

Solution

Ce challenge contient une DLL .NET. Celle-ci contient des données chiffrées en AES-CBC, ces données sont en fait une autre DLL .NET contenant la même chose. Et ceci, 150 fois.

La clé, l'IV et les données chiffrées sont statiques dans la DLL, on va donc faire un petit programme .NET permettant de récupérer ces valeurs et les déchiffrer. Ici, j'utilise dnlib pour le faire.

using System;
using System.Reflection;
using dnlib.DotNet;
using System.Diagnostics.CodeAnalysis;
using System.Runtime.CompilerServices;
using System.Security.Cryptography;
using System.Text;

class Program
{
  static void Main(string[] args)
  {
    string dllPath = args[0];  // La DLL contenant la DLL chiffrée
    string outPath = args[1];  // Là où on sauvegarde ce qu'on a déchiffré

    var module = ModuleDefMD.Load(dllPath);   // Chargement de la DLL avec dnlib 

    Aes aes = Aes.Create();   // Cipher AES
    aes.Padding = PaddingMode.ISO10126;
    aes.Mode = CipherMode.CBC;

    // Là où on va recueillir la valeur de la clé, l'IV et les données chiffrées
    Dictionary<string, byte[]> staticArrays = new Dictionary<string, byte[]>();
    foreach (var type in module.Types)
    {
      foreach (var field in type.Fields)
      {
        // Conditions pour récupérer que ce qui nous intéresse
        if (type.Name.Contains("PrivateImplementationDetails"))
        {
          // Pareil ici
          if (field.HasFieldRVA && field.InitialValue != null)
          {
            // Juste pour les logs
            Console.WriteLine($"[+] {field.Name} ({field.InitialValue.Length})");
            
            // Valeur de la donnée
            byte[] fieldValue = field.InitialValue;
            // En fonction de sa taille, on en déduit ce que c'est
            if (field.InitialValue.Length == 16) staticArrays["IV"] = fieldValue;
            else if (field.InitialValue.Length == 32) staticArrays["Key"] = fieldValue;
            else staticArrays["EncryptedData"] = fieldValue;
          }
        }
      }
    }
    
    // Si on a pas récupéré d'IV (ou de clé) alors c'est qu'il n'y avait rien à déchiffrer
    // Donc on le print sous forme UTF-8 (spoil: ce sera le flag)
    if (!staticArrays.ContainsKey("IV")) {
      Console.WriteLine(Encoding.UTF8.GetString(staticArrays["EncryptedData"]));
      // Lance une Exception pour prévenir qu'il n'y a rien à déchiffrer
      throw new InvalidOperationException("DLL not encrypted");
    } else {
      // Sinon on déchiffre et on save le résultat dans le outPath
      aes.IV = staticArrays["IV"];
      aes.Key = staticArrays["Key"];
      ICryptoTransform decryptor = aes.CreateDecryptor();
      byte[] decryptedData = decryptor.TransformFinalBlock(staticArrays["EncryptedData"], 0, staticArrays["EncryptedData"].Length);
      File.WriteAllBytes(outPath, decryptedData);
    }
  }
}

Après avoir build le projet, on va lancer en boucle notre exécutable sur la DLL avec python, jusqu'à ce que ça plante.

import subprocess
import pathlib
import shutil
import os

tmp_path = '2Decompile.dll'      # Copie temporaire de la DLL d'où extraire la prochaine DLL
out_path = 'Decompiled.dll'      # Résultat du déchiffrement

# Copie de la DLL originale 
shutil.copy('DLLception.dll', tmp_path)

i = 0
while True:
  i += 1
  print(f"[DLLCeption n°{i}]")
  # On lance notre programme .NET sur tmp_path vers out_path
  output = subprocess.run(f'"F:/CTF/HackDay 2025/Decompiler/bin/Debug/net9.0/Decompiler.exe" "{tmp_path}" "{out_path}"', shell=True, capture_output=True)
  # Les "logs" de notre programme
  print(output.stdout.decode())
  # Si on trigger l'Exception dans notre programme, on sort de la boucle
  if output.stderr:
    break
  # La DLL déchiffrée devient notre prochaine DLL où l'on va extraire
  shutil.move(out_path, tmp_path)
[DLLCeption n°1]
[+] 824445315B8CF03B9888ADB0129286C2CD18F225609D1E1E4544A82705D432CB (16)
[+] C8CDC9395004ACCD0DA5472C9BF81C89F9B738641167B1BF1A49E2858FBE8FD3 (3185680)
[+] F786F1AA87FC66AAFF7043DE0659A779D51BB78B27EA6A1FD7A6E90930FA6DF9 (32)

[DLLCeption n°2]
[+] 54BC4AC75B5F18FDD67E21A0EA1DF5A8BF40A61427CA15C59F783B1833A533C0 (32)
[+] 562777F09214BB91F522EE960F26AB6CA393198DE992C58C5AEE8AE6305E4A3E (3164176)
[+] 60B592AC99898B6241ED519E8D04A5897A3ADF0549B15988537210CDDA2DEC61 (16)

[DLLCeption n°3]
[+] 3564CA53D2C742B172E9810CBCD103C0334D55442671DE3D9C93D1C37D7D703C (3142672)
[+] A860F771B35FD3ED874FF5013C9C6107CA8266331DC8F00A8B1D858585728836 (16)
[+] C2BD074BF038A6EC342C0C083A21366756DE02021269EA4AE1F18DE40591A069 (32)

[...]

[DLLCeption n°147]
[+] Field: 143AE4399B1D51A5D8FE2FAA1A96AA6E7724C9002FFC7D9D3B761116F0AA3392 (32)
[+] Field: 3FFABA7F0FC0FBAD457FC58DD43C9A40C9C459C80202438EB62FD13CC6DB93EB (46096)
[+] Field: 5DC7B12C6EA617E8E3C1E81D54E6F531A223A7DBCE7C7F1C44A3434529972759 (16)

[DLLCeption n°148]
[+] Field: 40E5B99AF1219C06AD26BC5326084100E42EA01EB85AC680B348C63249E9EE97 (16)
[+] Field: 768DCB7C98BF4D7AD9D22DF192ECE437B4E06B93F6642BBCFDCB3BC777CBE193 (32)
[+] Field: A1F28FC0C354227F91578439F1BD3B30C54BB49EF1B29659CB388ACAE9C20A5B (25104)

[DLLCeption n°149]
[+] Field: 4C3BFD04A6B27CD5F213655B76EBDBA5975FB409F7E16F6B01114B8861C2AB28 (32)
[+] Field: A2328EA49AF1572B447FD6C14D7A77ABC573C8166EDB852B7D3C88317FB06BF9 (4112)
[+] Field: F0DD5D0C36F76FFD9EA030A79346CA9D0907528E00B929611CFAFCDBC0EE0C60 (16)

[DLLCeption n°150]
[+] Field: 8A0586F8773B48256CC1DA1684325466CE06FA50D392EB17AEF5D6CEBF1B6876 (112)
HACKDAY{dllCeption-be9746fa-d0f7-4761-a5ba-0e461a162877}

Dernière mise à jour

Cet article vous a-t-il été utile ?