• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Стеганография - аля Цикада 3301

На кануне нового 2019 года, 15 Декабря 2018 г. наткнулся в сети на такую интересную тему, как Cicada 3301. К сожалению не смог уделить должное внимание данной теме, как раз за день до этого стартовала крупнейшая в СНГ лаборатория Pentestit Lab 12, врайтап по которой можете найти на этом форуме в разделе CTF. Так вот, что это такое и вот Вам вырезка из wiki:

Link-Start.jpg


Цикада 3301 — таинственная организация, публикующая головоломки в Интернете. 4 января 2012 года на сайте был размещен пост: «Привет. Мы ищем лиц с высоким интеллектом. Для этого мы разработали тест. В этом изображении есть скрытое сообщение. Найдите его, и оно покажет вам, как найти нас. С нетерпением ждем тех немногих, кому удастся пройти весь путь. Удачи. 3301» . Так, первая серия головоломок продлилась около месяца. Вторая серия началась ровно год спустя, 5 января 2013 года. Третья серия началась 6 января 2014 года после публикации головоломки в . В 2015 году новых головоломок не было. Новое сообщение было опубликовано в Twitter 6 января 2016 года, но не содержало головоломку . В 2017 году было найдено новое сообщение на с верной подписью: «Остерегайтесь ложных путей. Всегда проверяйте подпись PGP от 7A35090F. 3301» По иному на данную ситуацию взглянул пользователь под ником «cantdanya”, или же как он себя назвал «Keepye”. В 2019 году он увидел некую последовательность в годах появления пасхалок, по его данным после некоторых манипуляций он получил число 3301, данное число совпадало с числом сложения двух сторон одной из картинок. Далее история об этом пользователе умалчивает, перед тем, как он выложил информацию в сеть он написал: «я не знаю как на это отреагируют они, но знаю, что я сделал все так, как они не планировали.» . Существует много подражателей, публикующих головоломки от имени «Цикада 3301», но как правило они не содержат цифровую подпись, либо подписаны неверными ключами.
Головоломки «Цикада 3301» связаны с защитой данных, и .

Я не предендую на идею для статьи, но хочу попробовать воспроизвести вместе с Вами поиск следов в рамках одного изображения и поиграть в увлекательную стеганографию и к слову шифрование тоже неотъемлемая часть цикады. Это не сама Цикада 3301, а лишь ее упрощенная копия найденная на просторах интернета.

Все, что у нас есть - это на изображении.
Переходим по ней и видим другое изображение:

goo-gl-maps-tx-Nbjydy8sn.jpg

По старой доброй привычке смотрим информацию о файле:
Bash:
file goo-gl-maps-tx-Nbjydy8sn.jpg
ну или
Bash:
cat -b goo-gl-maps-tx-Nbjydy8sn.jpg
goo-gl-maps-tx-Nbjydy8sn.jpg: JPEG image data, Exif Standard: [TIFF image data, big-endian, direntries=9, orientation=upper-left, xresolution=2182, yresolution=2190, resolutionunit=2, software=Adobe Photoshop CS6 (Windows), datetime=2018:12:15 17:45:36], progressive, precision 8, 900x900, components 3
Adobe Photoshop CS6 (Windows) и дата создания 2018:12:15 17:45:36

strings.jpg


Сумбурно, смотрим текстовиком:

notepad.jpg


Гля какую ссылку к нам замело, ходим по ней и находим еще одну картинку:

2.jpg
Bash:
file 2.jpg
2.jpg: JPEG image data, Exif standard: [TIFF image data, big-endian, direntries=12, height=718, bps=0, PhotometricIntepretation=RGB, orientation=upper-left, width=1000], progressive, precision 8, 973x699, components 3
Сразу открываем текстовиком:

2-text.jpg


По линку переходим и видим:

3-ubintu.jpg


Так, шифр Цезаря мы с Вами вроде уже разбирали в разделе CTF

Cesar-23.jpg


Ищем тут живую ссылку (кто как, кто головой, а кто каждый линк тыкает)
? · · ·
· ·
?
· · · · · ·
· ? · ·
? · ? ?
/
? ? · ·
· ?
? ? ·
· ?
? · ·
? · ?
· ?
· · ? ? ?
· ? ? ? ?
? · · · ·
Еще одна загадка. И по подчерку догадываемся, что это Дедушка Морзе.
Конвертим ручками, автоматический конвертер не айс. Получаем еще одну ссылку на bit.ly которая ссылается на (в нашей стране +6 GMT mega закрыта напрочь, так что идем через VPN или кому что сподручнее) - остальные просто качают. (Так сразу оговорюсь, файлы не мои, на меге реклама и ссылки на донаты не мои - закрывайте)
вдруг у кого тоже внезапно кончится лимит на скачивание... ложу сюда
Найди загадку в этой книге:
3-5-2
19-3-15
27-11-4


15-8-18
32-23-28


4-11-1
49-11-5
48-2-51
60-6-1
52-7-1
78-8-21
29-16-13
Загадка 216.

В итоге шурудим по книжке и ищем так (1-я цифра - номер страницы, 2-я цифра - номер строки и 3-я - буква) в конце концов мы собираем еще один линк.

book-lookup.jpg


Затем переходим по ссылке

216!.jpg


Сканируем и получаем еще одну ссылку



Результат:
Тип кода: QRCODE

Получаем:
This paste expires on 2019-12-16.

231235i34113467139852376138972573985b63419683279417239823761b73829341
37562734917.8219431795249253829c7543179823496123789243196832o92376234
3294234/267972198318248129837129312B518319325382319352831931z82933221
2539218352193162395S9237932462378913591632v31235341134671398523761389
57398563419Y683279417239823761738j293416783756273491782194c3179524925
975431798234961237892431968329237623425832942342679721983182481298371
293125183193253823193528319318293322143923123534113467139852376138972
573985634196832794172398237617382934167837562734917821943179524925382
975431798234961237892431968329237623425832942342679721983182481298371
293125183193253823193528319318293322143923123534113467139852376138972
573985634196832794172398237617382934167837562734917821943179524925382
975431798234961237892431968329237623425832942342679721983182481298371
293125183193253823193528319318293322143923123534113467139852376138972
573985634196832794172398237617382934167837562734917821943179524925382
975431798234961237892431968329237623425832942342679721983182481298371
тут все просто, главное быть внимательнее и помнить, мы ранее искали и находили ссылки

74-603540-42-874381.jpg


Ну дальше по образу и подобию своему, открываем текстом, видим ссылку на гугл, оттуда на мегу, качаем файл и получаем такое:
Привет. Мы рады что вы дошли до этого уровня.

Теперь вы должны создать пост в Instagram с хештегом #номер и ждите следующих указаний.
Мы с вами свяжемся !!! Загадка 216

Надеюсь этим примером мне удалось пояснить, что такое Стеганография, какие они бывают нудные и как нужно дотошно относиться к деталям. Тут все было очень просто и расчитано на новичков...
(y)
 

Вложения

  • 4-Ubuntu.jpg
    4-Ubuntu.jpg
    42,3 КБ · Просмотры: 990
V

Valkiria

В статье описан лишь "очень частный" и очень простой поиска информации в графическом файле.
Но ведь на практике далеко не всегда можно получить "зацепку" , просматривая графический файл в текстовом редакторе, как в начале статьи.
Если графический файл представляет собою что-то типа "контейнера" или архива, то как искать пароль для извлечения нужной информации ?
 

clevergod

Platinum
22.04.2017
119
673
BIT
10
Если графический файл представляет собою что-то типа "контейнера" или архива, то как искать пароль для извлечения нужной информации ?
Вариантов тьма, но это уже из разряда форензики. На практике могу сказать, что CTF построены все логично и предполагают наличие решения или подсказку. В жизни все иначе. Или все бонально просто или прктически не вскрываемо без наличия 89 метрового пароля с генератора не вскрыть. Но есть инструментарий, который позволит изъять сокрытую информацию или получить зацепки. Есть еще социальная инженерия и работа с "кругом общения" объекта, который помогает в 60% случае изъять нужную информацию. На практике могу сказать, что нелепая записка или вскрытая упаковка мороженного в мусорном ведре могут сказать больше, чем информация на компьютере...
Вот к примеру активная задача на HTB frolic - отражает всю боль сокрытия информации и то как не надо прятать ее и кажеться, что сам автор давно забыл что там внутри и ровно поэтому оценка сложности так сильно разнится...
1549800867174.png
 
  • Нравится
Реакции: Valkiria
V

Valkiria

На практике могу сказать, что CTF построены все логично и предполагают наличие решения или подсказку.
Спасибо за ответ.
После прочтения твоих статей у меня имеются вопросы.
Где-то на форуме ты описывал шифр Цезаря.
Я не помню адрес той статьи, но хорошо помню тот факт, что описание носило описательный характер.
Описание алгоритмов шифрования неплохо гуглится.
Но нигде не описан ПРОЦЕСС шифровки и расшифровки.
Человеку, который хоть раз что-то зашифровал или расшифровал, всё ясно.
Но если человек никогда не задумывался о шифровании, сложно сделать первый шаг, сложно преодолеть порог вхождения.
Дело прошлое, но я несколько дней пыталась расшифровать какой-то шифр, который был в одном из каких-то конкурсов на форуме, но так у меня ничего и не вышло. Вроде и описания понятны, и процесс кажется простым, но всё равно на практике ничего не расшифровывается.
Можешь написать статью для идиотов со скриншотами, после прочтения которой только обезьяна ничего не поймёт ?
Статью о том, как на практике нужно зашифровывать и расшифровывать какой-то текст с помощью шифров Знаменитостей ?
 
  • Нравится
Реакции: BKeaton

clevergod

Platinum
22.04.2017
119
673
BIT
10
сложно преодолеть порог вхождения
Я понимаю о чем Вы говорите и какие есть сложности в самом начале, поверьте мне, дальше ничего не измениться. Я вот сколько стегонографии бы не решил, всегда все с "нуля". Гугл и косвевенные признаки ранее решаемых задач только помогают и множественный опыт, но каждый раз новые и новые шифры появляются.
Ну нет таких "секретов" к сожалению по шифрованию, только заучивать все что уже освещено и что есть в википедии или я лично пользуюсь
По стеганографии есть универсальная тулза типа DominicBreuker/stego-toolkit
Поэтому я стараюсь осещать врайтапы задач, пока только в рамках уже решенных и пока не располагаю временем для освещения таковых намного чаще чем получается...
Насчет статьи подумаю...
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!