Jump to content
Usr6

The Eye of ...

Recommended Posts

Posted (edited)

Având puțin timp liber seara, am decis să mă destind cu acest challenge. La rugămintea lui @Usr6 în continuare postez rezolvarea problemei.

 

1. Descărcăm imaginea, verificând ca aceasta să fie integră

$ curl -s https://rstforums.com/forum/uploads/monthly_2017_09/OldGarage.jpg.cdab3e6485face558cb330baf13519cf.jpg --output OldGarage.jpg && md5sum OldGarage.jpg

IbEGodL.png

 

2. Folosind un hex editor, căutăm biții de sfârșit ai jpg-ului, aceștia fiind FF D9.

Dacă după acești biți începe analiza noastră. Dacă după acești biți mai există ceva care ne-ar putea da de bănuit, iar în acest caz putem observa un nume de fișier, anume "The_eye_of.jpg". 

nkADHq7.png

 

De începem să bănuim că aici vom găsi următoarea sub-problemă. Verificăm dacă la sfârșitul acelui bloc de biți găsim grupul de litere PK (inițialele lui Phil Katz, creatorul formatului zip)

Kodzt2O.png

 

3.1.0 Folosind dd sau un extractor, extragem arhiva din imagine. 

Îi vom da valoarea parametrului skip valoarea în format decimal a blocului unde se termină jpg-ul (unde am găsit blocul FF D9), în cazul nostru:

dd if=OldGarage.jpg bs=1 skip=47168 of=imaginea_din_arhiva.zip

3.1.1 Dezarhivăm imaginea_din_arhiva.zip

PS: Am prezentat acest pas pentru a se putea observa cum funcționează lucrurile.

3.2 Probabil aveți un extractor care e destul de deștept și puteți extrage direct:

QEx9g32.png

 

4. Analizăm imaginea obținută analog cu pasul 3, unde observăm același procedeu, dar, la extragerea arhivei suntem întâmpinați de cererea unei parole.

GhUYcH9.png

 

Pentru un rezultat mai obiectiv, căutăm imaginea pe Google împreună cu numele acesteia fără "_".  Găsim astfel parola

Horus

 

JNWPsvf.png

 

5. Analog pasului anterior, la dezarhivare trebuie să introducem o parolă pentru a ajunge la următorul sub-challenge:

d3xVS0M.png

 

Căutând pe Google după "the code of holy bible" ajungem pe pagina de Wikipedia a acestuia, iar la al doilea paragraf găsim asta:

Quote

Many examples have been documented in the past. One cited example is that by taking every 50th letter of the Book of Genesis starting with the first taw, the Hebrew word "torah" is spelled out. The same happens in the Book of Exodus. Modern computers have been used to search for similar patterns and more complex variants, as well as quantifying its statistical likelihood.

Decidem să spargem textul în bucăți de câte 50 de caractere. Pentru asta, eu am folosit site-ul http://www.dcode.fr/text-splitter care are o mulțime de tool-uri de criptanaliză.

Obținem asta:

Uqv5I7X.png

Deci, avem parola: 

GoodDataIsCryptedData

6. În urma tuturor indiciilor am ajuns să avem fișierul cu numele "Divide ET Impera.56"

7KPERVt.png

 

La prima vedere pare o înșiruire de hash-uri MD5, cel puțin pentru mine. Dar, ca să folosim indiciul, vom împărți textul în 56 de blocuri.

K2rNErV.png


Pe fiecare linie avem câte 32 de caractere, ceea ce corespunde unui hash MD5. Deci, să trecem la treabă.

Căutăm un site unde putem introduce mai multe hash-uri odată. Eu am găsit https://hashkiller.co.uk/md5-decrypter.aspx 

 

Rezultatul este:

 

92eb5ffee6ae2fec3ad71c777531578f MD5 : b
4b43b0aee35624cd95b910189b3dc231 MD5 : r
0cc175b9c0f1b6a831c399e269772661 MD5 : a
9e3669d19b675bd57058fd4664205d2a MD5 : v
d95679752134a2d9eb61dbd7b91c4bcc MD5 : o
5058f1af8388633f609cadb75a75dc9d MD5 : .
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
e358efa489f58062f10dd7316b65649e MD5 : t
e1671797c52e15f763380b45e841ec32 MD5 : e
336d5ebc5436534e61d16e63ddfca327 MD5 : -
0cc175b9c0f1b6a831c399e269772661 MD5 : a
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
83878c91171338902e0fe0fb97a8c47a MD5 : p
4b43b0aee35624cd95b910189b3dc231 MD5 : r
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
7b8b965ad4bca0e41ab51de7b31363a1 MD5 : n
03c7c0ace395d80182db07ae2c30f034 MD5 : s
5058f1af8388633f609cadb75a75dc9d MD5 : .
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
800618943025315f869e4e1f09471012 MD5 : F
e1671797c52e15f763380b45e841ec32 MD5 : e
2db95e8e1a9267b7a1188556b2013b33 MD5 : l
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
4a8a08f09d37b73795649038408b5f33 MD5 : c
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
e358efa489f58062f10dd7316b65649e MD5 : t
0cc175b9c0f1b6a831c399e269772661 MD5 : a
4b43b0aee35624cd95b910189b3dc231 MD5 : r
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
9033e0e305f247c0c3c80d0c7848c8b3 MD5 : !
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
44c29edb103a2872f519ad0c9a0fdaaa MD5 : P
5058f1af8388633f609cadb75a75dc9d MD5 : .
5dbc98dcc983a70728bd082d1a47546e MD5 : S
5058f1af8388633f609cadb75a75dc9d MD5 : .
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
d20caec3b48a1eef164cb4ca81ba2587 MD5 : L
0cc175b9c0f1b6a831c399e269772661 MD5 : a
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
69691c7bdcc3ce6d5d8a1361f22d04ac MD5 : M
7b774effe4a349c6dd82ad4f4f21d34c MD5 : u
2db95e8e1a9267b7a1188556b2013b33 MD5 : l
e358efa489f58062f10dd7316b65649e MD5 : t
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
7fc56270e7a70fa81a5935b72eacbe29 MD5 : A
7b8b965ad4bca0e41ab51de7b31363a1 MD5 : n
865c0c0b4ab0e063e5caa3387c1a8741 MD5 : i
7215ee9c7d9dc229d2921a40e899ec5f MD5 : [space]
b2f5ff47436671b6e533d8dc3614845d MD5 : g
0cc175b9c0f1b6a831c399e269772661 MD5 : a
4b43b0aee35624cd95b910189b3dc231 MD5 : r
0cc175b9c0f1b6a831c399e269772661 MD5 : a
363b122c528f54df4a0446b6bab05515 MD5 : j
e1671797c52e15f763380b45e841ec32 MD5 : e

Cam acesta a fost challenge-ul. Mulțumiri @Usr6și la mulți ani cu întârziere @MrGrj, că am uitat :"> 

 

Resurse utile:

https://ctfs.github.io/resources/topics/steganography/file-in-image/README.html

https://gchq.github.io/CyberChef/

http://www.dcode.fr/

http://security.cs.pub.ro/hexcellents/wiki/kb/crypto/home

http://ridiculousfish.com/hexfiend/

 

Edited by Silviu
  • Upvote 16
Posted (edited)

Felicitari. Nu mi-a trecut prin cap sa caut pe Google the code of holy bible.

 

Also, poti extrage foarte usor arhivele din poze folosind binwalk. Doar aveti grija ca e cam entuziast si le si dezarhiveaza si cand sunt parolate, rezultand intr-un mic fiasco uneori.

Edited by u0m3
  • Thanks 1
  • Upvote 1
Posted
45 minutes ago, u0m3 said:

Felicitari. Nu mi-a trecut prin cap sa caut pe Google the code of holy bible.

 

Also, poti extrage foarte usor arhivele din poze folosind binwalk. Doar aveti grija ca e cam entuziast si le si dezarhiveaza si cand sunt parolate, rezultand intr-un mic fiasco uneori.

Cred că unzip e mai mult decât suficient pe orice distribuție. :D 

  • Upvote 2

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...