248 lines
10 KiB
Markdown
248 lines
10 KiB
Markdown
# WitheredFlower Forensic
|
||
|
||
На входе нам дается `evidence.zip`, внутри которого расположены: `backup.ab` и папка `Logs`.
|
||
|
||
|
||
## Подготовка
|
||
|
||
Извлекаем `backup.ab` через `abe.jar` (его скачиваем с интернета)
|
||
|
||
После этого основные пути:
|
||
- логи: `.\Logs\...`
|
||
- данные приложений: `.\ab_extracted\...`
|
||
|
||
### Таск 1. BRAND / MODEL / BUILD_ID
|
||
|
||
1. Открываем `Logs/ADBReport/device_info.txt`.
|
||
2. Поиск по файлу:
|
||
- `ro.product.manufacturer`
|
||
- `ro.product.model`
|
||
3. Открываем `Logs/DumpSysReport/package.txt`.
|
||
4. Поиск по файлу: `buildFingerprint=`.
|
||
5. Из `buildFingerprint` берём `BUILD_ID` (часть вида `BP2A...`).
|
||
|
||
Флаг: `caplag{SAMSUNG/SM-A346E/BP2A.250605.031.A3}`
|
||
|
||
### Таск 2. Время последней загрузки + Realtime
|
||
|
||
1. Открываем `Logs/DumpSysReport/meminfo.txt`, в первой строке видим: `Realtime: 479801602` ms
|
||
2. Открываем `Logs/DumpSysReport/sensorservice.txt`, берём:
|
||
- `Captured at: 04:00:17.895`
|
||
- дату из строк `wall=02-10 ...` (месяц-день)
|
||
3. Год берём из системных логов с ISO-датой (например, `Logs/ADBReport/device_state.txt`), здесь это `2026`.
|
||
4. Считаем в Python:
|
||
|
||
```python
|
||
from datetime import datetime, timedelta
|
||
|
||
capture = datetime.fromisoformat("2026-02-10 04:00:17.895")
|
||
realtime_ms = 479_801_602
|
||
realtime_sec = realtime_ms // 1000
|
||
|
||
boot_raw = capture - timedelta(seconds=realtime_sec)
|
||
boot_rounded = (boot_raw + timedelta(milliseconds=500)).replace(microsecond=0)
|
||
|
||
days = realtime_sec // 86400
|
||
rem = realtime_sec % 86400
|
||
hours = rem // 3600
|
||
minutes = (rem % 3600) // 60
|
||
seconds = rem % 60
|
||
|
||
print("boot_raw:", boot_raw)
|
||
print("boot_rounded:", boot_rounded.strftime("%Y-%m-%d %H:%M:%S"))
|
||
print("realtime_DDHHMMSS:", f"{days:02d}:{hours:02d}:{minutes:02d}:{seconds:02d}")
|
||
```
|
||
|
||
Получаем:
|
||
- `boot_rounded = 2026-02-04 14:43:37`
|
||
- `realtime_DDHHMMSS = 05:13:16:41`
|
||
|
||
Флаг: `caplag{2026-02-04/14:43:37_05:13:16:41}`
|
||
|
||
## Таск 3. Самый большой файл в Download + SHA-256
|
||
|
||
1. Открываем папку `ab_extracted/shared/0/Download`.
|
||
2. Сортируем файлы по размеру по убыванию.
|
||
3. Самый большой файл: `Telegram.apk`.
|
||
4. Считаем SHA-256 вручную через 7-Zip:
|
||
- `7-Zip -> CRC SHA -> SHA-256`
|
||
- копируем значение
|
||
|
||
Флаг: `caplag{4d3400b9330b2a7d93683fd03ddda41aa144c65f74eb27e3a1786b21397ec7d1}`
|
||
|
||
## Таск 4. Самый ранний Wi-Fi BSSID + адрес
|
||
|
||
1. Открываем `Logs/DumpSysReport/wifi.txt`.
|
||
2. Видим, что чаще всего встречается BSSID 00:1C:10:BC:B4:03, он и есть самый ранний
|
||
3. Открываем сайт 3wifi.dev, вбиваем в поиск этот MAC адрес, находим коорды 38.939159, -77.163895
|
||
4. По картам находим адрес дома (1305 BALLANTRAE FARM DRIVE MC LEAN VA 22101)
|
||
|
||
Флаг: `caplag{00:1C:10:BC:B4:03_1305BALLANTRAEFARMDRIVEMCLEANVA22101}`
|
||
|
||
## Таск 5. Год постройки, стоимость земли на 2017 год, площадь бассейна в sq ft.
|
||
|
||
По описанию таска нам нужно найти информацию о соседнем доме с таким же номером, 1305 Ballantrae Ct, McLean, VA 22101
|
||
|
||
1. Открываем поиск по адресу на сайте https://icare.fairfaxcounty.gov/ffxcare/search/commonsearch.aspx?mode=address
|
||
2. Вбиваем все данные, получаем pdf документ со всей информацией о доме.
|
||
3. В PDF находим данны о стоимости, площади бассейна и т.д.
|
||
|
||
Флаг: `caplag{1965_887000_720}`
|
||
|
||
## Таск 6. Package name + device name
|
||
|
||
1. Открываем `Logs/ADBReport/packages_thirdparty.txt`, ищем `projectflower`:
|
||
- получаем package name: `com.projectflower.agency`
|
||
2. Открываем `Logs/DumpSysReport/wifi.txt`, ищем `wifi_p2p_device_name`:
|
||
- получаем device name: `a-272-8`
|
||
|
||
Флаг: `caplag{com.projectflower.agency_a-272-8}`
|
||
|
||
## Таск 7. Время первой установки ProjectFlower
|
||
|
||
1. Подтверждаем `appId` для нужного пакета:
|
||
|
||
- `Logs/DumpSysReport/package.txt`
|
||
- по поиску `Package [com.projectflower.agency]` и `appId=10336`
|
||
2. Открываем `Logs/ADBReport/device_state.txt`, ищем `Package add: uid=10336`.
|
||
3. Среди найденных строк выбираем самое раннее время по timestamp в начале строки.
|
||
|
||
Самый ранний timestamp: `2026-02-10T02:50:38.948756`.
|
||
|
||
Формат: `2026-02-10/02:50:38`
|
||
|
||
Флаг: `caplag{2026-02-10/02:50:38}`
|
||
|
||
## Таск 8. Основной sync endpoint
|
||
|
||
1. Идём в `ab_extracted/apps/com.projectflower.agency/a/`.
|
||
2. Открываем `base.apk` архиватором (или копируем как `base.zip` и распаковываем).
|
||
3. Читаем файл `assets/protocol/kappa.cfg`.
|
||
|
||
Берём:
|
||
|
||
- `endpoint_primary=wss://relay-core.projectflower.agency/sync`
|
||
- `port_primary=443`
|
||
|
||
Флаг: `caplag{wss://relay-core.projectflower.agency/sync:443}`
|
||
|
||
## Таск 9. PIN + SecretCode агента T-4A1KD
|
||
|
||
### PIN
|
||
|
||
1. Открываем `.\ab_extracted\apps\com.projectflower.agency\a\base.apk` в jadx-gui.
|
||
2. Переходим в класс `com.projectflower.agency.security.PinManager` (или делаем поиск по строке `pin_hash` и открываем класс-обработчик PIN).
|
||
3. Открываем метод `initializeDefaultsIfMissing` и/или `hashPin`.
|
||
4. В `initializeDefaultsIfMissing` видно, какое 6-значное значение передаётся как дефолтный PIN при инициализации.
|
||
5. В `hashPin` подтверждаем алгоритм: `PBKDF2WithHmacSHA256`, `12000` раундов.
|
||
6. Проверочный state лежит в `.\ab_extracted\apps\com.projectflower.agency\sp\pf_secure_state.xml`
|
||
(`pin_salt`, `pin_hash`), что совпадает с логикой из кода.
|
||
7. Из кода получаем PIN: `473029`.
|
||
|
||
### SecretCode
|
||
|
||
1. Открываем `.\ab_extracted\apps\com.projectflower.agency\db\flowerline.db` в DB Browser for SQLite.
|
||
2. Выполняем SQL:
|
||
|
||
```sql
|
||
SELECT id, keyPartA, keyPartB FROM chat_threads;
|
||
SELECT chatId, bodyCipher, iv FROM messages WHERE senderId='T-4A1KD' AND isEncrypted=1;
|
||
```
|
||
|
||
3. Для найденного `chatId` собираем материал ключа:
|
||
- `key_material = keyPartA + "::" + keyPartB + "::orchid/signal/v4"`
|
||
4. Расшифровываем `bodyCipher` (AES-GCM, nonce = `iv`, AAD пустой) и получаем plaintext.
|
||
|
||
```python
|
||
import base64, hashlib, sqlite3
|
||
from pathlib import Path
|
||
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
|
||
|
||
db = Path(r".\ab_extracted\apps\com.projectflower.agency\db\flowerline.db")
|
||
con = sqlite3.connect(db)
|
||
con.row_factory = sqlite3.Row
|
||
cur = con.cursor()
|
||
|
||
cur.execute("SELECT chatId, bodyCipher, iv FROM messages WHERE senderId='T-4A1KD' AND isEncrypted=1 LIMIT 1")
|
||
msg = cur.fetchone()
|
||
|
||
cur.execute("SELECT keyPartA, keyPartB FROM chat_threads WHERE id=?", (msg["chatId"],))
|
||
thr = cur.fetchone()
|
||
|
||
key_material = f'{thr["keyPartA"]}::{thr["keyPartB"]}::orchid/signal/v4'
|
||
key = hashlib.sha256(key_material.encode()).digest()
|
||
pt = AESGCM(key).decrypt(base64.b64decode(msg["iv"]), base64.b64decode(msg["bodyCipher"]), None)
|
||
print(pt.decode())
|
||
```
|
||
|
||
Получаем: `Code: 19XQF`
|
||
|
||
Флаг: `caplag{473029_19XQF}`
|
||
|
||
## Таск 10. Восстановление удалённого сообщения + SHA-256
|
||
|
||
1. В DB Browser находим удалённое сообщение через ссылку `tombstoneRef`:
|
||
|
||
```sql
|
||
SELECT id, chatId, senderId, tombstoneRef
|
||
FROM messages
|
||
WHERE senderId='Petal' AND tombstoneRef IS NOT NULL;
|
||
```
|
||
|
||
2. По найденному `tombstoneRef` достаём шифртекст:
|
||
|
||
```sql
|
||
SELECT id, messageId, cipherText, iv
|
||
FROM tombstones
|
||
WHERE id = '<tombstoneRef из шага 1>';
|
||
```
|
||
|
||
3. Достаём параметры для ключа:
|
||
- `fragment` из `.\apk_unpack\assets\protocol\kappa.cfg`
|
||
- `cursor_seed` из `.\ab_extracted\apps\com.projectflower.agency\sp\pf_ops_seed.xml`
|
||
|
||
4. Формируем ключ:
|
||
- `key = SHA256("PLF-omega-" + fragment + "kappa-19" + seed[:8])`
|
||
|
||
5. Расшифровываем AES-GCM (`cipherText`, `iv`, AAD пустой), получаем строку формата:
|
||
- `messageId|chatId|original_body`
|
||
6. Считаем SHA-256 только от `original_body`.
|
||
|
||
|
||
```python
|
||
import base64, hashlib, re, sqlite3
|
||
from pathlib import Path
|
||
from zipfile import ZipFile
|
||
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
|
||
|
||
base = Path(r".")
|
||
db = base / "ab_extracted" / "apps" / "com.projectflower.agency" / "db" / "flowerline.db"
|
||
seed_xml = (base / "ab_extracted" / "apps" / "com.projectflower.agency" / "sp" / "pf_ops_seed.xml").read_text(encoding="utf-8")
|
||
cfg_path = base / "apk_unpack" / "assets" / "protocol" / "kappa.cfg"
|
||
|
||
if cfg_path.exists():
|
||
cfg = cfg_path.read_text(encoding="utf-8")
|
||
else:
|
||
apk = base / "ab_extracted" / "apps" / "com.projectflower.agency" / "a" / "base.apk"
|
||
with ZipFile(apk, "r") as z:
|
||
cfg = z.read("assets/protocol/kappa.cfg").decode("utf-8")
|
||
|
||
seed = re.search(r'<string name="cursor_seed">([^<]+)</string>', seed_xml).group(1)
|
||
fragment = re.search(r"^fragment=(.+)$", cfg, re.M).group(1).strip()
|
||
|
||
con = sqlite3.connect(db)
|
||
con.row_factory = sqlite3.Row
|
||
cur = con.cursor()
|
||
cur.execute("SELECT tombstoneRef FROM messages WHERE senderId='Petal' AND tombstoneRef IS NOT NULL ORDER BY createdAt LIMIT 1")
|
||
ref = cur.fetchone()["tombstoneRef"]
|
||
cur.execute("SELECT cipherText, iv FROM tombstones WHERE id=?", (ref,))
|
||
t = cur.fetchone()
|
||
|
||
key = hashlib.sha256(f"PLF-omega-{fragment}kappa-19{seed[:8]}".encode()).digest()
|
||
pt = AESGCM(key).decrypt(base64.b64decode(t["iv"]), base64.b64decode(t["cipherText"]), None).decode()
|
||
original_body = pt.split("|", 2)[2]
|
||
print(hashlib.sha256(original_body.encode()).hexdigest())
|
||
```
|
||
|
||
Флаг: `caplag{8eddf96d2de82df880e42163a792338c067b65f07ab1d167f9ffec9fe12ceaea}`
|