ebCTF 2013 Teaser | for100 [Write-Up]

Dans cette épreuve, il était donné un fichier rar, et un indice :
flag = rev(steg.unhideBin(unhex(rot13(un7z(carve(xor(unhex(rot13(unrar(ebCTF_Teaser_FOR100.rar))))))))))

Bien, il va donc falloir suivre toutes les étapes unes par unes. On unrar le fichier rar. Mauvaise surprise : celui-ci demande un password.
Heureusement, on passe vite fait dessus grâce à des tools tels que rarcrack. Le password trouvé est « 12 ».
On obtient un fichier, que l’on rot13 puis unhex. Ce qui nous donne une grande suite d’octets illisibles.
L’indice à cet étape est xor() : ce ne doit pas être très compliqué.
On essaye donc un brute-force sur une clé de 1 octet de 0 à 255, et on tombe sur 66, c’est à dire la lettre « B ».
Une fois un-xored, on a une image PNG.

img1

La suite de l’indice indique un7z(carve()). Un fichier 7zip devait donc être caché dans cette image. En examinant un peu, on trouve le fichier cherché à la fin du fichier PNG, après le IEND, concaténé.
On l’extrait (après avoir trouvé le password de l’archive qui était « 21 »…), puis on ré-applique un rot13 et un unhex. Cela donne une nouvelle image :

img2

À partir de là, l’indice indique steg.unhideBin().
Mhh, cela ne nous évoque rien… sûrement un outil de stéganographie dont une fonction se nomme ainsi…
Une analyse de LSB montre un gros rectangle de bruit à gauche de l’image…

img3

Une petite recherche google, et on tombe sur ceci https://github.com/RobinDavid/LSB-Steganography.
On utilise ce petit tool afin d’extraire le dernier fichier de l’image.
Il ne reste plus qu’à appliquer la dernière fonction de l’indice, c’est à dire rev(), qui suppose de reverse les octets du fichier.
On obtient l’image ultime :

img4

Et il ne nous reste plus qu’à valider.
Done 🙂

Publicités

2 réflexions au sujet de « ebCTF 2013 Teaser | for100 [Write-Up] »

  1. « Une analyse de LSB montre un gros rectangle de bruit à gauche de l’image » Comment procédez-vous pour faire cette anlayse LSB ?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s