ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.xyz/forumdisplay.php?f=112)
-   -   CTF HTB - Beatles (https://forum.antichat.xyz/showthread.php?t=1626531)

clevergod 01.02.2019 20:38
Привет, а вот и первый врайтап из очень популярной CTF платформы Hackthebox, вот и пруф популярности:

https://forum.antichat.xyz/attachmen...f01513e278.png

Уж больно понравилась эта стеганография и ровно поэтому решил ее запостить, надеюсь и Вы оцените...

https://forum.antichat.xyz/attachmen...db0cf7a954.png

Скачав архив мы видим изображение и пойдем по привычному для нас пути:

Stegsolve.jar

https://forum.antichat.xyz/attachmen...bb0268145d.png

Хочу Вам дать понять, что при работе со стеганографией Вы сразу понимали какой софт использовать для максимально быстрого результата, т.е. если Вы начнете смотреть изображение бинарно к примеру:

Bash:


Код:
cat
-b BAND.JPG
или

Bash:


Код:
nl
BAND.JPG
Мы получаем много мусора:

https://forum.antichat.xyz/attachmen...ac2db73f70.png

Дальше пробуем инструментом, который мы показывали ранее - созвучным с иконкой браузера поисковика от Яндекса:

Bash:


Код:
strings BAND.JPG
А ще лучше сразу научиться так, если мы работаем со стеганографией, прочти всегда нужно фильтровать мусор и все значения мешьше 10'
[/CODE]

https://forum.antichat.xyz/attachmen...68b90bc4d5.png

Вот это другое дело, Base64:

Bash:


Код:
echo
'VkhKNUlFaGhjbVJsY2lFPQ=='
|
base64 --decode
получаем матрешку
Код:
VHJ5IEhhcmRlciE=
Bash:


Код:
echo
'VHJ5IEhhcmRlciE='
|
base64 --decode
Ну или одной коммандой, я в винде использую Notepad++ быстро и эффективно:

Bash:


Код:
echo
'VkhKNUlFaGhjbVJsY2lFPQ=='
|
base64 --decode
|
base64 --decode
Try Harder! Так и что бы это значило? Я понимаю, что это девиз OSCP, но все же...

Идем по привычке, попытаемся узнать, что за фотография это:

Bash:


Код:
binwalk BAND.JPG
Цитата:

DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 JPEG image data, JFIF standard 1.01
Чаще всего на равне со strings можно использовать file, быстро подручно и результативно:

Bash:


Код:
file
BAND.JPG
Цитата:

BAND.JPG: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 1600x1067, components 3
Хорошо попробуем steghide чтобы извлечь данные получив некий пароль из base64 в base64:

Bash:


Код:
steghide extract -sf BAND.JPG
https://forum.antichat.xyz/attachmen...a3987d738f.png

и к нашему удивлению это не пароль от стеги. 2 вечера я возвращался к этой стеганографии и вспоминал только Try Harder! Try Harder! Try Harder! Try Harder! Try Harder! клинит уже... Если у нас нет других вводных данных и эта картинка все что у нас есть, нужно реальное погружение, что нам остается кроме брута? Правильно - только брут стеги и нам нужен stegcracker:

Bash:


Код:
sudo
curl
https://raw.githubusercontent.com/Paradoxis/StegCracker/master/stegcracker
>
/usr/local/bin/stegcracker
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100
2323
100
2323
0
0
3852
0
--:--:-- --:--:-- --:--:--
3865
sudo
chmod
+x /usr/local/bin/stegcracker
sudo
stegcracker --update
StegCracker -
(
https://github.com/Paradoxis/StegCracker
)
Copyright
(
c
)
2019
- Luke Paris
(
Paradoxis
)
Updating StegCracker to the latest version
..
DONE
Запускаем с нашим любимым словариком rockyou.txt в нем 14 344 365 строк с символами как никак:

Bash:


Код:
stegcracker BAND.JPG rockyou.txt
так, это не более чем пример функционала брута стеги, не нужно задавать лишних вопросов, не умею я гифов делать...

Это конечно весело, пару часов ждать, а давайте попробуем составить свой тематический словарик из информации с Wiki: Да кстати просматривая информацию в википедии на английском, то и дело нарывался на словосочетание группы, так же у них оказывается были прикольные названия альбомов типа !Help и A Hard Day's Night прям в тему:

Bash:


Код:
nano
Beatles_words.txt
https://forum.antichat.xyz/attachmen...53c42c45d6.png

Bash:


Код:
stegcracker BAND.JPG Beatles_words.txt
StegCracker -
(
https://github.com/Paradoxis/StegCracker
)
Copyright
(
c
)
2019
- Luke Paris
(
Paradoxis
)
Attacking
file
'BAND.JPG'
with wordlist
'Beatles_words.txt'
..
Successfully cracked
file
with password:
[
B
]
THEBEATLES
[
/B
]
Your
file
has been written to:
[
B
]
BAND.JPG.out
[/B]

Ура! Мы успешно подобрали пароль и получили вывод в виде файла

Цитата:

BAND.JPG.out
Bash:


Код:
file
BAND.JPG.out
BAND.JPG.out: ELF
64
-bit LSB pie executable, x86-64, version
1
(
SYSV
)
, dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2,
for
GNU/Linux
2.6
.32, BuildID
[
sha1
]
=
ca68ea305ff7d393662ef8ce4e5eed0b478c8b4e, not stripped
Так из полезного, это LSBи у нас есть некий sha1
Цитата:

ca68ea305ff7d393662ef8ce4e5eed0b478c8b4e
Дальше смотри содержимое, увеличивает фильтрацию, т.к. при 10 символах тоже много мусора, ставим 20:

Bash:


Код:
strings BAND.JPG.out
|
awk
'length($0) > 20'
https://forum.antichat.xyz/attachmen...03fbabb0af.png

Шайтан трава, мы сделали это! Давайте посмотрим Вывод
Цитата:

The tour was canceled for the following month...!
I'll go out for dinner with my girlfriend named Yoco!
Ну там и флаг, и это мучение за 30 очей прям получилось. Реально Русская Матрешка!

Автор сия стеги пересмотрел фильм Кристофера Нолана - Начало...
Пальцы вверх, кто не решил или не понял - думаю будет хорошим уроком и скилом!

clevergod 02.02.2019 13:34
Цитата:

n01n02h сказал(а):

Не хорошо спойлерить то!
Я понимаю, но вроде врайтапы для этого и нужны. В чистом виде токена нет. Если найдутся садо-мазо, кто со скрина перепечатает бэйс - флаг им. У меня задача одна, дать людям, новичкам как я материал, который позволит сократить время на поиски информации, а не для того, чтобы кто-то втупую решил за халяву не думая. Будет жаль, что такие чудики есть...
Если есть что-то дейтвительно вызывающее в посте, я к Вам как к голдтиму всегда прислушаюсь.

rink0 05.02.2019 01:49
Что за ватермарк на каждом скрине?


Время: 14:41