Contenido principal

smpChallenge5 - smpCTF 2010 (Español)

Julio 14, 2010

smpChallenge - 5 (Forensics 1) por G30rg3_x

Descripción
Ingles:
We are sure we left, a flag in here somewhere... Right redsand?
Can you help find it? The file: download

Español:
Estamos seguros que dejamos por aquí una bandera... ¿Verdad redsand?
¿Puedes ayudarnos a encontrarla? El Archivo es: download

Resolución
Abrimos nuestra consola (Cygwin Bash para los Windowseros como su servidor) y analizamos que tipo de archivo es con el comando file:

Reconociendo el formato

Encontramos que se encuentra compreso con rzip 2.1 así que procedamos a descomprimirlo:

Descomprimiendo el RZ

Como vemos al intentar descomprmir nos marca un error de que no conoce el sufijo, error que se arregla simplemente agregándole la extensión rz, al descomprimir los archivos analizamos de nuevo con file, el cual encuentra otra compresión esta vez LHarc 1.x, procedo a descomprmirla con 7zip

Descomprimiendo LHarc con 7zip

Ahora nos da un archivo llamado FS.tar, aunque este mismo claramente tiene una extension conocida mejor para estar seguros de que es lo que dice ser, lo analizamos de nuevo.
Ya conociendo que si es un tar, entonces lo procedemos a desempaquetar ya que tar no es un compresor si no un empaquetador

Desempaquetando TAR

Una vez desempaquetado el archivo encontramos otro más, pero ahora se encuentra compreso con bzip2, procedemos a descomprimirlo:

Descomprimiendo bzip2

Con el bzip2 descompreso encontramos ahora un gzip, para no alargarles tanto de una vez lo descomprimimos así como lo analizamos, ahora nos encontramos con propiamente un imagen de disco, la cual usa ext2 como sistema de archivos. Para seguir con esto simplemente vamos a montar la imagen de disco en linux para que podamos acceder a los archivos del archivo:

Montando la imagen en /mnt/smp5

Como se puede ver, al montar sólo hay 2 archivos, uno que ahora el comando file no puede reconocer, y una carpeta vacía.
Muchos participantes en este paso abandonaron el reto ya que parece que esa imagen no tenia un formato conocido popular pero sin embargo al verlo desde un editor hexadecimal todo se aclara rapidamente...

Hexdump sobre archivo desconocido

Al empezar el archivo hay un dato que parece ser una cabecera de un tipo conocido por algunas peronas, especificamente los que han trabajado de cerca con UPX.
UCL es una readaptación libre (Open Source) de la librería de compresion NRV, UCL como se ha dicho previamente es mayormente usada por el proyecto UPX (Empaquetador y Compresor de Archivos Ejecutables) como librería de compresión de datos en la versión libre (Open Source) de UPX.
Bueno el problema aquí es que al menos su servidor no conoce herramienta que pueda comprimir así como descomprimir este mismo, la mejor solución es descargar el código fuente de UCL y adapatarlo para que descomprima.
Para nuestra suerte dentro del código fuente existen ejemplos que implementan la compresión y la descompresión de UCL, por lo que sólo necesitamos compilar UCL.
Compilar UCL queda fuera de esta resolución pero en si es muy sencillo, solo basta seguir las instrucciones que trae el código fuente, pero bueno, ya compilado el código fuente procedemos a descomprmir el archivo UCL con el ejemplo llamado "uclpack":

Descomprimiendo con uclpack

Una vez descompreso el archivo, nos encontramos con otra archivo empaquetado por tar, procedemos a descomprimirlo y a analizar su contenido como siempre:

Descomprimiendo el TAR

Ahora si nos encontramos con los archivos, ya que tar desampaquetó una carpeta llamada joe.
La carpeta joe contiene muchos archivos los cuales apuntan a muchas cosas interesantes como son una parte en la que se encripta un archivo con gpg, pero todo esto fue construido para que te confundas y estes tratando de buscar la bandera donde no debes, en si te debes concentrar en el archivo "network_sniff.pcap" el cual contiene algunos paquetes interesantes, uno de ellos es una petición hacia una imagen en "http://www.penfest.ca/flagg.jpg":

Análisis del pcap

Esta imagen contiene el siguiente mensaje...

Flag!

Mensaje que traducido al español sería:
"Esteganografía es la cienca y arte de escribir mensajes secretos de una forma en la que nadie mas aparte del remitente y el destinatario, sospeche de su existencia
si estas buscando una bandera, estas muy cerca…"

Interesante, dice que la bandera ha de estar cerca, así que viendo desde un editor hexadecimal podemos ver que tiene un comentario que dice:

Comentario de la imagen

Como podemos ver, sale un mensaje en inglés que dice:
This is your flag: Seeing is not always believing!
La cual es nuestra bandera.

Sin embargo el reto no acababa aquí, en el smpCTF tenías que buscar no sólo la bandera sino también la llave del reto, estas normalmente se encontraban dentro del código fuente de la descripción del reto con excepción de algunos...

Challenge ID en código fuente

Ya con la llave y la bandera, solo resta mandar la respuesta al reto...

Flag submission

Respuesta
Challenge ID: 74bf0f65
Flag: Seeing is not always believing!

Archivado en: Retos informáticos, Seguridad, Sistemas operativos |

4 comentarios

  1. kagure Julio 15, 2010 @ 12:56 am

    Muy bueno para que lo que es tener la malicia par este tipo de retos.

  2. servant Julio 17, 2010 @ 4:04 pm

    mucho ingenio definitivamente, gracias por compartir...

  3. exactlimon Julio 31, 2010 @ 6:54 pm

    definitivamente mucho nivel.

  4. HenryBytes Septiembre 7, 2010 @ 9:36 am

    Jejejeje creo que todavia no estoy al nivel de esos retos, a seguir aprendiendo mas :).

    P.D.: Ecxelente analisis

Deja un comentario