SECUNA CTF - Write Up

11 min readOct 18, 2018

Hello Guys,

This is my first write up regarding on Capture The Flag. Let’s get this fucking started.

First of all Thanks to AJ Dumanhug for this Capture the Flag in Rootcon 12 and also to my friend Fredmoore Damian for lending his laptop during CTF. This is my First Hacking Conference and I attend without any laptop.

Day 1

Okay, let’s start If you attend on RootCon 12 and if you visited Secuna’s Booth. They will give you some sort of calling card type-thing (Just like the picture below).

All you need to do is as usual scan the QR Code to get the link: https://pastebin.com/raw/pwg9aPHx

So first thing I did is to delete the `/raw` and you will be redirected to the Pastebin with some sort of the paste detail.

As you can see in first that there is nothing here. but my friend Fred noticed the file size which is big for a few words.

Imagine 176.19 kb for the word `Something is here. Can you see it?`

So my friend Fred dig deeper and got nothing so I asked a hint to AJ if he can give us only one hint. First, he gave us a keyword called ‘White Space’ I forgot the other word. so we search for it and got nothing again.

Day 2

So I approached him again and i told him that i’m surrender. So he gave me another/second/last hint. He gave me a link to decode the first Steganography:

Unicode Steganography with Zero-Width Characters

This is plain text steganography with zero-width characters of Unicode. Zero-width characters is inserted within the…

330k.github.io

Copy and Paste the whole content from the pastebin and put it on Steganography Text field then click the Decode button to get this hidden message.

+[------->+++<]>++.-.-----[->++<]>.[-->+<]>+++.--[----->+<]>.+++++.-.-.-.-.-.-------.>+[--->++<]>+.[------->+<]>.+++++.-.-------.-.----[->++<]>-.-[--->+<]>++.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.+[->+++++<]>++.-.-.-.-.+[-->+++<]>.>-[----->+<]>.-[-->+++<]>--.+++++.-------.+++++.-.-.-.-------.-.+++++.-------.+++[-->+++<]>.-[->+++<]>.-.----[->++<]>-.+[-->+<]>++.---[->++<]>-.-.-------.+++++.-.-.-.-------.>+[--->++<]>.--[--->++<]>--.-------.+++++.-.-------.----[->++<]>.[--->+<]>+.-[++>---<]>+.-.+++++.-.-.-.-------.[->++<]>+.-[-->+++<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.[------->++<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.[--->++<]>+.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.--[----->+<]>.+++++.-.-.-.-.-------.+++++.-.-.-.-.-------.-----[->++<]>.+[--->+<]>++.-.-.-.>++++++++++.-[------->+<]>.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-[-->+++<]>.-.-.-.-.-.-.-.-.-.--[->++++<]>.++[-->+++<]>+.-------.+[-->+++<]>.[----->++<]>++.-.-.-.-.-.-.-----[->++<]>.-------.>++++++++++.[->++++++<]>--.+++++.-.-.-.-.-.-------.>+[--->++<]>+.+[----->+<]>.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.---[-->+++<]>.-.+[--->++<]>.>-[--->+<]>-.+++++.-.-.-.-.-------.+++++.>++++++++++.>-[--->+<]>---.-------.-[-->+++<]>.[->+++<]>++.-.--[->++++<]>.[-->+++<]>--.[-->+++<]>+.[-->+<]>--------.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.++[->+++++<]>.-.-.-.-.-.-.-.-.--[->+++<]>.-.>--[-->+<]>-.++[---->+++<]>.[--->++<]>---.+[-->+++<]>+.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.+[------>+<]>-.+++++.-------.>++++++++++.+[--->++++<]>.-.-.-.-.-------.-.+++++.-------.[------->+<]>.--[---->+++<]>.-.-.-.[--->++<]>-.>-[--->+<]>.-.-.-------.+[--->+<]>+.--[->+++<]>.-.+++++.-------.+++++.-.-------.[-->+++<]>++.+++[->+++<]>+.+++++.-.-.-------.++[-->+++<]>++.+[--->++<]>.-.-.-.+[-->+<]>+.--[->++<]>-.-------.[--->+++++<]>.>--[-->+++++<]>.-.[-->+++++<]>+.+++++.-.-.-.-.-------.+++++.-.-------.--[->++<]>-.[--->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.+[--->+<]>.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-[->++++++<]>-.-.+++++.-.-.-.-.-.-.-.-.-.-------.+[-->+++<]>+.++[--->++<]>+.-.-.-.-.-.-------.-[------>+<]>.+[--->++<]>-.-.+[->++<]>.[++>---<]>-.-.-------.+++++.-------.>+[--->++<]>.---[----->+<]>.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.[->++++<]>++.-.-.-.-.-.-.-.-.-.-[->+++<]>+.-.[--->++<]>---.+[-->+++<]>+.-.[----->+<]>.-.[---->+++<]>.[->+++++++<]>.-.-.-.-.-.-------.[-->+<]>-----.[->+++++++<]>+.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.--[-->+++<]>-.-.-.[--->++<]>.>-[--->+<]>---.-.+++++.-.-.-.-.-------.-[-->+++<]>.>-[----->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.>++++++++++.>--[-->+++<]>.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.--[--->+<]>.-.-.-.++[->+++<]>.+[--->++++<]>.-.-------.+++++.-.-------.+++++.-------.[----->++<]>-.+[--->+<]>+.-------.-.[->++++++<]>-.[->++<]>.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.[->+++++<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.[--->+<]>--.-------.+++++.-.-.-.-.-------.+++++.-.-------.-.-.[--->+<]>++++.-[->++<]>.>++++++++++.+[->++++++<]>+.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.+++[-->+++<]>.-.-.-.-.-.-.-.-.+[-->+<]>+++.-.--[----->+<]>.[------>+<]>-.-[--->+<]>++.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.>-[--->+<]>.-.-.-.-.-.-.-.-.-.-.-.--[--->++++<]>.+++++.-.-.-.-.-.-.-------.+++++.-.-.-------.-[----->+<]>+.[-->+<]>-.-.-.-[->++++++<]>-.+++++.-.-.-.-.-.-.-------.[--->+<]>--.[->++++++++++<]>.-.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.--[----->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-[--->+<]>---.-.+++[->+++<]>+.[--->++++<]>++.-------.-.-.+++++.-.-.-------.+++++.-------.[->++++++<]>-.-[->+++<]>-.+[--->++<]>+.---[-->+++<]>.-.-------.---[-->+++<]>--.-[-->+<]>.>-[--->+<]>---.-.+++++.-.-.-.-------.+[--->+<]>+.>-[----->+<]>.+[-->+++<]>+.-------.[-->+++<]>.[->+++<]>++.-.+++++.-------.+[-->+++<]>+.----[->+++<]>+.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.>++++++++++.>----[-->+++<]>-.-.-.-.-.-.-.-.-.-.-.-.-.++[->+++++<]>.-.-.-.-.-.-.-.-.--[->+++<]>.[--->+<]>.>--[-->+<]>-.++[---->+++<]>.[--->++<]>---.+[-->+++<]>+.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.+[--->++++<]>+.-.[----->+<]>++.>--[----->+<]>.-.-.-.-.-.-.-.-------.>--[-->+++<]>-.[-->+<]>+.-.--[-->+++<]>.-------.+++++.-.-.-------.+++++.-.-.-------.-[-->+++<]>.-.+[->+++<]>+.-------.-.+++++.>++++++++++.++[++++>---<]>+.-.-.-------.-.++[-->+++<]>+.++[--->++<]>.-------.+++++.-.-------.[------>+<]>-.-[--->+<]>++.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.[--->+<]>++++++.-.+[-->+++++<]>.[--->+<]>--.+++++.-.-.-.-.----[->++++<]>+.+++++.-------.+[-->+<]>+.+[-->+++<]>+.-.-.-.-.-.[--->+<]>++.>+[--->++<]>+.-[--->+<]>+.-------.+++++.-.-.-.-.-.-------.-[->+++<]>-.-.[-->+++++<]>-.-.-.-.--[----->+<]>.[->+++++<]>.-------.-[->++++++<]>.[->++<]>-.++[->+++++<]>.-.+++++.>++++++++++.>+[--->++<]>.[------->+<]>.--[---->+++<]>.-.-.-.-.-.-.-.-------.+[--->+<]>+.>-[----->+<]>.+[-->+++<]>+.-------.[-->+++<]>.[-->+<]>-------.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.>-[--->+<]>----.-.-.[------->+++<]>.-.-.-.-.-.-.-.-.-.-.++[--->++<]>+.++[->+++++<]>.>--[-->+++<]>.-[---->+++<]>.-.-.-.-.-.-.-------.--[-->+++<]>-.>-[--->+<]>-.-.-.-.>-[----->+<]>.+[-->+++<]>+.-------.[-->+++<]>.[->+++<]>++.-.-.-.-.++[-->+++<]>.---[->+++<]>.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.+[--->++++<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.--[--->+<]>--.-.-.-.-.-.-------.-.+++++.-.-.-.-------.-[->++++++<]>.----[->+++<]>.+++++.-------.>--[-->+++<]>-.[---->+++<]>-.-------.+++++.-------.+++++.-.-------.-.-[-->+++<]>--.-[-->+<]>---.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.----[->++<]>-.-.-.+[-->+<]>+.[--->+++++<]>.+++++.-.-.-.-.-.-------.>-[--->+<]>-.>++++++++++.[--------->++<]>+.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.[->++++<]>+.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.[->++++++<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.>++++++++++.+[->+++++++<]>.-.-.-.-.-.-[->+++++<]>+.-.-.-.-.-.-.-.-.-.-.-------.-.-.---[-->+++<]>.>-[--->+<]>.-.-.-.-.>-[----->+<]>.-[-->+++<]>--.[->+++++<]>.+++[->+++++<]>.++[-->+++<]>+.-.-.-.-.-.-------.++[-->+++<]>+.--[->+++<]>+.-.-.-.-.-.-.>--[-->+<]>-.-.-.-.-.-.-.-.-.-.-.-.-.--[->+++++<]>.-.-.-.-.-.-[-->+++++<]>++.--[--->+<]>.+++++.-------.+++++.>--[-->+++<]>.+[-->+<]>++++.-[-->+++<]>+.-[--->+<]>+.-.>--[-->+<]>-.-------.>++++++++++.[->++++++<]>+.+[-->+++<]>+.-.-[--->+<]>-.+++++.-------.-.+++++.-.-.-.-.-------.[-->+<]>-----.+[----->++<]>+.

Hahaha! after seeing this I was like.

It’s BRAINFUCK. One of the Bizzare Programming Languages. if you search it on google you will find the other weird Programming Languages.

I encountered this on hackthebox when solving some of their Misc Challenges. its easy to find a brainfuck decryptor online you can search it via google (as usual). one of the example decoders is this: https://copy.sh/brainfuck/

As always, copy and paste and another weird text will be decoded.

'&B$:?>=<;:3W165.-Qrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;: 98765Q3INGLKJIBAF?c&%A#?>7<;:92V6/43,Pq)(-,+*#Ghgfedcba`_^]\[ZYXWVUTSRQPONML KJIHGFEDCBA@?>=<;:9876543210/.-,+*)('&%$#"!~}|{zyxwvutsrqponmlkjihgfedcba`_^ ]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+*)('&%$:?>=<;498765.Rsrqp onmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;WVUTSRQPON0LEi,+*)('&B; :?>=<;:3Wxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA]\>TYXWVUNS RKoON0Fj-,+*)('&%$#"!~}|{zyxwvutsrqponm+*)('&%$#cb~`=^]\[ZYXWVUTSRQPONMLKaf_ dcba`YX]VzZYXW9UTSLpJINGLKDhBGFE>bBA@?!=6Z{z276543,10)Mnmlkjihgfedcba`_^]\[Z YXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9ONSRQPONMLKJCgGFEDCB;_?>~<;492Vwvutsrqponml *)('&%$#"!a`=^]yxZvutsrqj0QPONMLKJIHGFEDCBA@\[Z<RQVUTSRKo210/.-,+*)('&%$#"!~ }|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUqponPlkdihaf_%c\[!BA@?>=<;:98765432 10/.-,+*)('&%$#"!~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSohmlkjibgf_^]#D CBA@?>=<;:9876543210/KJIHGFEDC%$:^!~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWV UTSRQPONMLKJ`edcba`_X]\[Tx;:9OTSRQPONGk.-,+*)('&%$#"!~}|{zyxwvutsrqponmlkjih gfedcba`_^]\[ZYXWVUTSRQmlNjcbafed]b[!_A]\Uy<RQVUTSLp3OHlFEJCg*)('&%$#"!~}|{z yxwvutsrqponm+*)('&%$#c!~`=^]\[ZYXWVUTSRQPONMihJfedcba`_X|?>ZSXWVOTSRKonNGFK JIHA@dD=BA:^!~}|{zyxwvutsrqponml*)i!&%$#"y~w=^]\[ZYuWslqponmle+*hgfeGc\"CYX] VzZYXWVUTSLp3OHl/.-,+*)('&%$#"!~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSR QPOkjihgfedcbaCY}]\[ZYXWPtTSRQ3OHlFEDCBf)('&%$#"!~}|{zyxwvutsrqponmlkjihgfed cba`_^]\[ZYXWVUTSRnmlkjibafedc\"Z_X|\UZSXWPOs6543210/.-,+*)('&%A@?!7<;:9870T utsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=<;:9876543210/.-,+* )('&%$#"!~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPONMLKJIHGFEDCBA@?>=< ;:9876543210/.-,+*)('&%$#"!~}|{zyxwvutsrqponmlkjihgfedcba`_^]\[ZYXWVUTSRQPON MLKJIHdcba`_^]\[ZSRQuUTSRQ3Im0LKJIHG@d'&%$#"!~}|{zyxwvutsr0/.-,+k#(!&}Cd"!~w =^]sxqputsrqj0{

And as i expected. I already know this again. Another bizarre programming language called Malbolge. I also encounter this on HackTheBox that is why im familiar with this shit. so i decoded it online via google.

http://www.malbolge.doleczek.pl/ << you can use this website to decode it.

after that the message will be decrypted (again). This will be the Last, The decoded message is:

Now, Please Inspect & Extract Text. https://we.tl/t-SYpHGvbWT2

After going to the link. you will download some sort of png file. I thought that it’s some sort of png steganography and after opening it in image viewer I shocked and it’s familiar again. hahahhaha!

I encounter this on HackTheBox. and it is called Piet, another one of the bizarre programming languages. so I decode it via:

BertNase's Own - npiet fun!

Please upload a piet program image andnpiet will execute it and display the result.

www.bertnase.de

and Gotcha! The Flag of all times! and I’m the first Solver.

The FLAG is:

SECUNA{I_guess_you_now_like_Esoteric_Programming_Language}

I’m the first solver and I receive a 1TB WD Elements Hard Drive.

followed by 3 friends:

Fredmoore Damian, Amiel Reyes, and Japz Divino.

It’s a nice and fun Capture The Flag.

Thanks to Secuna and to AJ Dumanhug for the Secuna T-Shirt and 1TB Hard Disk Drive.

Sorry for my wrong grammar or wrong choice of words (if any).