[ 1day_1chall ] :: [ Day 4 – BÔNUS 2 – Stegossauro ]

Home / Wiki / [ 1day_1chall ] :: [ Day 4 – BÔNUS 2 – Stegossauro ]

[ 1day_1chall ] :: [ Day 4 – BÔNUS 2 – Stegossauro ]

> Campus Party > Campus Party 2016 - CPBR9 > [ 1day_1chall ] :: [ Day 4 - BÔNUS 2 - Stegossauro ]

Descrição: Mais cabra da peste da história brasileira, Uma tool com seu nome poderia salvar a sua pele!

Link: http://game.ctf-br.org/challenges/stegossauro.txt

Baixamos o arquivo stegossauro.txt e verificamos que trata-se de um arquivo com diversos espaços em branco. Tiramos o hexdump para analisar melhor o que seriam estes espaços:

Reparamos que o arquivo é composto essencialmente pelos caracteres: 0x09 (TAB na tabela ASCII) e 0x20 (caracter ESPAÇO na tabela ASCII).

Como possuímos apenas dois tipos de caracteres, julgamos que este desafio era semelhante ao desafio do HnR onde estes caracteres traduziam-se em 0’s e 1’s e a flag era recuperada decodificando a representação binária da string. Tentamos esta abordagem, porém sem sucesso! :\

Então desconfiamos que tratava-se de código Morse, tentamos algumas combinações do tipo: 0x20 = ponto “.” e 0x09 = traço “-“. Invertemos isto e continuamos na mesma! -_-‘

Então voltamos à descrição do desafio.. mais cabra da peste? Tool com o mesmo nome?

Resolvemos pesquisar ferramentas de esteganografia e nos deparamos com o Virgulino, uma ferramenta criada pelos cabras porretas do LampiãoSec. Realmente, com a ajuda do mais cabra da peste da história do Brasil, ficou mole:

Day04_Bonus2_Stegossauro

O Virgulino nos mostrou que todos aqueles espaços e tabs na verdade escondem um mensagem criptografada com a Cifra de César. Criamos um script para fazer todas as rotações possíveis e encontramos a flag:

Day04_Bonus2_rotN

FLAG

seria virgulino o famoso lampiao?

CRIADO POR

RTFM – Red Team Freakin’ Maniacs

ChOkO
ChOkO
Rafael "ChOkO" possui 10 anos de experiência como consultor de Segurança da Informação dos quais atuou em diversos projetos, dentre as principais atividades desempenhadas destacam-se: (i) análise de requisitos de segurança tecnológica de projetos, (ii) análise de riscos, (iii) análise de malware, (iv) gestão de vulnerabilidades, (v) planejamento e execução de análises de vulnerabilidades e testes de intrusão. É co-fundador do RTFM, onde obteve experiência participando de campeonatos nacionais e internacionais, bem como, organizando competições e palestrando pelo projeto CTF-BR sobre este modelo de competição.
Recent Posts