• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

CTF CTF HTB - Beatles

clevergod

clevergod

Platinum
22.04.2017
119
673
BIT
10
Привет, а вот и первый врайтап из очень популярной CTF платформы Hackthebox, вот и пруф популярности:

hackthebox.jpg


Уж больно понравилась эта стеганография и ровно поэтому решил ее запостить, надеюсь и Вы оцените...

run_beatles-1024x560.jpg


Скачав архив мы видим изображение и пойдем по привычному для нас пути:

Stegsolve.jar

beatles-stegsolve-1024x683-jpg.25694


Хочу Вам дать понять, что при работе со стеганографией Вы сразу понимали какой софт использовать для максимально быстрого результата, т.е. если Вы начнете смотреть изображение бинарно к примеру:

Bash: 
cat -b BAND.JPG
или
Bash: 
nl BAND.JPG

Мы получаем много мусора:
band_nl.jpg


Дальше пробуем инструментом, который мы показывали ранее - созвучным с иконкой браузера поисковика от Яндекса:
Bash: 
strings BAND.JPG
А ще лучше сразу научиться так, если мы работаем со стеганографией, прочти всегда нужно фильтровать мусор и все значения мешьше <10 так:
Bash: 
strings BAND.JPG | awk 'length($0) > 10'
band_strings.jpg


Вот это другое дело, Base64:
Bash: 
echo 'VkhKNUlFaGhjbVJsY2lFPQ==' | base64 --decode
получаем матрешку VHJ5IEhhcmRlciE=

Bash: 
echo 'VHJ5IEhhcmRlciE=' | base64 --decode
Ну или одной коммандой, я в винде использую Notepad++ быстро и эффективно:
Bash: 
echo 'VkhKNUlFaGhjbVJsY2lFPQ==' | base64 --decode | base64 --decode
Try Harder! Так и что бы это значило? Я понимаю, что это девиз OSCP, но все же...

Идем по привычке, попытаемся узнать, что за фотография это:
Bash: 
binwalk BAND.JPG
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 JPEG image data, JFIF standard 1.01
Нажмите, чтобы раскрыть...

Чаще всего на равне со strings можно использовать file, быстро подручно и результативно:
Bash: 
file BAND.JPG
BAND.JPG: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 1600x1067, components 3
Нажмите, чтобы раскрыть...

Хорошо попробуем steghide чтобы извлечь данные получив некий пароль из base64 в base64:
Bash: 
steghide extract -sf BAND.JPG
band_steghide.jpg


и к нашему удивлению это не пароль от стеги. 2 вечера я возвращался к этой стеганографии и вспоминал только Try Harder! Try Harder! Try Harder! Try Harder! Try Harder! клинит уже... Если у нас нет других вводных данных и эта картинка все что у нас есть, нужно реальное погружение, что нам остается кроме брута? Правильно - только брут стеги и нам нужен stegcracker:

Bash: 
sudo curl https://raw.githubusercontent.com/Paradoxis/StegCracker/master/stegcracker > /usr/local/bin/stegcracker
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 2323 100 2323 0 0 3852 0 --:--:-- --:--:-- --:--:-- 3865
sudo chmod +x /usr/local/bin/stegcracker
sudo stegcracker --update
StegCracker - (https://github.com/Paradoxis/StegCracker)
Copyright (c) 2019 - Luke Paris (Paradoxis)
Updating StegCracker to the latest version.. DONE

Запускаем с нашим любимым словариком rockyou.txt в нем 14 344 365 строк с символами как никак:
Bash: 
stegcracker BAND.JPG rockyou.txt
так, это не более чем пример функционала брута стеги, не нужно задавать лишних вопросов, не умею я гифов делать...
stegcracker.gif


Это конечно весело, пару часов ждать, а давайте попробуем составить свой тематический словарик из информации с Wiki: Да кстати просматривая информацию в википедии на английском, то и дело нарывался на словосочетание группы, так же у них оказывается были прикольные названия альбомов типа !Help и A Hard Day's Night прям в тему:

Bash: 
nano Beatles_words.txt
dictionary.jpg


Bash: 
stegcracker BAND.JPG Beatles_words.txt
StegCracker - (https://github.com/Paradoxis/StegCracker)
Copyright (c) 2019 - Luke Paris (Paradoxis)

Attacking file 'BAND.JPG' with wordlist 'Beatles_words.txt'..
Successfully cracked file with password: [B]THEBEATLES[/B]
Your file has been written to: [B]BAND.JPG.out
[/B]

Ура! Мы успешно подобрали пароль и получили вывод в виде файла
BAND.JPG.out
Нажмите, чтобы раскрыть...

Bash: 
file BAND.JPG.out
BAND.JPG.out: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=ca68ea305ff7d393662ef8ce4e5eed0b478c8b4e, not stripped

Так из полезного, это LSB и у нас есть некий sha1
ca68ea305ff7d393662ef8ce4e5eed0b478c8b4e
Нажмите, чтобы раскрыть...

Дальше смотри содержимое, увеличивает фильтрацию, т.к. при 10 символах тоже много мусора, ставим 20:
Bash: 
strings BAND.JPG.out | awk 'length($0) > 20'
out-strings20.jpg

Шайтан трава, мы сделали это! Давайте посмотрим Вывод
The tour was canceled for the following month...!
I'll go out for dinner with my girlfriend named Yoco! ;)
Нажмите, чтобы раскрыть...
Ну там и флаг, и это мучение за 30 очей прям получилось. Реально Русская Матрешка!

Автор сия стеги пересмотрел фильм Кристофера Нолана - Начало...
Пальцы вверх, кто не решил или не понял - думаю будет хорошим уроком и скилом!
 

Вложения

  • beatles-stegsolve-1024x683.jpg
    beatles-stegsolve-1024x683.jpg
    54,3 КБ · Просмотры: 1 594
  • Нравится
Реакции: noted, vag4b0nd, _Eliot_ и ещё 10
clevergod

clevergod

Platinum
22.04.2017
119
673
BIT
10
n01n02h сказал(а):
Не хорошо спойлерить то!
Нажмите, чтобы раскрыть...
Я понимаю, но вроде врайтапы для этого и нужны. В чистом виде токена нет. Если найдутся садо-мазо, кто со скрина перепечатает бэйс - флаг им. У меня задача одна, дать людям, новичкам как я материал, который позволит сократить время на поиски информации, а не для того, чтобы кто-то втупую решил за халяву не думая. Будет жаль, что такие чудики есть...
Если есть что-то дейтвительно вызывающее в посте, я к Вам как к голдтиму всегда прислушаюсь.
 
N

n01n02h

clevergod сказал(а):
Я понимаю, но вроде врайтапы для этого и нужны. В чистом виде токена нет. Если найдутся садо-мазо, кто со скрина перепечатает бэйс - флаг им. У меня задача одна, дать людям, новичкам как я материал, который позволит сократить время на поиски информации, а не для того, чтобы кто-то втупую решил за халяву не думая. Будет жаль, что такие чудики есть...
Если есть что-то дейтвительно вызывающее в посте, я к Вам как к голдтиму всегда прислушаюсь.
Нажмите, чтобы раскрыть...
Врайтапы пишутся по завершению цтф если что, данный таск действующий.
Вы правила читали на хтб? Там есть пункт, запрещено раскрывать решение до снятия задачи.

clevergod сказал(а):
Если найдутся садо-мазо, кто со скрина перепечатает бэйс - флаг им
Нажмите, чтобы раскрыть...
И такие найдутся, но не это главное, ход решения раскрыт и повторить его уже не проблема

clevergod сказал(а):
У меня задача одна, дать людям, новичкам как я материал, который позволит сократить время на поиски информации, а не для того, чтобы кто-то втупую решил за халяву не думая.
Нажмите, чтобы раскрыть...
Очень похвально. Если бы Вы подали материал не много по другому, в виде статьи. Не ссылаясь на таск, просто расписав возможные варианты сокрытия информации. У нас раздел Стего на форуме пуст и Ваши статьи были бы очень кстати)
 
  • Нравится
Реакции: sinner67 и Night Hunter
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ