CTF-BR! – [ 1day_1chall ] :: [ Day 4 – BÔNUS 2

[ 1day_1chall ] :: [ Day 4 – BÔNUS 2 – Stegossauro ]

Posted 2 de fevereiro de 2016

> Campus Party > Campus Party 2016 - CPBR9 > [ 1day_1chall ] :: [ Day 4 - BÔNUS 2 - Stegossauro ]

Descrição: Mais cabra da peste da história brasileira, Uma tool com seu nome poderia salvar a sua pele!

Link: http://game.ctf-br.org/challenges/stegossauro.txt

Baixamos o arquivo stegossauro.txt e verificamos que trata-se de um arquivo com diversos espaços em branco. Tiramos o hexdump para analisar melhor o que seriam estes espaços:

[root:...BR/CPBR2016/DAY_04/BONUS_02]# cat stegossauro.txt 
			 	  		  		 			  				 	 	 		   	  	     			 					 	 	 			  				    			 		 		 		 			 	 	 		 			     	     			     	     		  					   	 		 			 	    			 	  			     	     		 		 			   	 		 	    			 	 	 		   	 			     						#                
[root:...BR/CPBR2016/DAY_04/BONUS_02]# cat -vet stegossauro.txt 
^I^I^I ^I  ^I^I  ^I^I ^I^I^I  ^I^I^I^I ^I ^I ^I^I   ^I  ^I     ^I^I^I ^I^I^I^I^I ^I ^I ^I^I^I  ^I^I^I^I ^I   ^I^I^I ^I^I ^I^I ^I^I ^I^I^I ^I ^I ^I^I ^I^I^I^I^I^I^I     ^I     ^I^I^I     ^I     ^I^I  ^I^I^I^I^I   ^I ^I^I ^I^I^I ^I^I^I    ^I^I^I ^I  ^I^I^I     ^I     ^I^I ^I^I ^I^I^I   ^I ^I^I ^I^I^I ^I^I^I   ^I^I^I ^I ^I ^I^I   ^I ^I^I^I     ^I^I^I^I^I^I#                                                                                                       
[root:...BR/CPBR2016/DAY_04/BONUS_02]# xxd stegossauro.txt 
0000000: 0909 0920 0920 2009 0920 2009 0920 0909  ... .  ..  .. ..
0000010: 0920 2009 0909 0920 0920 0920 0909 2020  .  .... . . ..  
0000020: 2009 2020 0920 2020 2020 0909 0920 0909   .  .     ... ..
0000030: 0909 0920 0920 0920 0909 0920 2009 0909  ... . . ...  ...
0000040: 0920 0920 2020 0909 0920 0909 2009 0920  . .   ... .. .. 
0000050: 0909 2009 0909 2009 2009 2009 0920 0909  .. ... . . .. ..
0000060: 0909 0909 0920 2020 2020 0920 2020 2020  .....     .     
0000070: 0909 0920 2020 2020 0920 2020 2020 0909  ...     .     ..
0000080: 2020 0909 0909 0920 2020 0920 0909 2009    .....   . .. .
0000090: 0909 2009 0909 2020 2020 0909 0920 0920  .. ...    ... . 
00000a0: 2009 0909 2020 2020 2009 2020 2020 2009   ...     .     .
00000b0: 0920 0909 2009 0909 2020 2009 2009 0920  . .. ...   . .. 
00000c0: 0909 0920 0909 0920 2020 0909 0920 0920  ... ...   ... . 
00000d0: 0920 0909 2020 2009 2009 0909 2020 2020  . ..   . ...    
00000e0: 2009 0909 0909 09                         ......

[root:...BR/CPBR2016/DAY_04/BONUS_02]# cat stegossauro.txt

[root:...BR/CPBR2016/DAY_04/BONUS_02]# cat -vet stegossauro.txt

^I^I^I ^I ^I^I ^I^I ^I^I^I ^I^I^I^I ^I ^I ^I^I ^I ^I ^I^I^I ^I^I^I^I^I ^I ^I ^I^I^I ^I^I^I^I ^I ^I^I^I ^I^I ^I^I ^I^I ^I^I^I ^I ^I ^I^I ^I^I^I^I^I^I^I ^I ^I^I^I ^I ^I^I ^I^I^I^I^I ^I ^I^I ^I^I^I ^I^I^I ^I^I^I ^I ^I^I^I ^I ^I^I ^I^I ^I^I^I ^I ^I^I ^I^I^I ^I^I^I ^I^I^I ^I ^I ^I^I ^I ^I^I^I ^I^I^I^I^I^I#

[root:...BR/CPBR2016/DAY_04/BONUS_02]# xxd stegossauro.txt

0000000: 0909 0920 0920 2009 0920 2009 0920 0909 ... . .. .. ..

0000010: 0920 2009 0909 0920 0920 0920 0909 2020 . .... . . ..

0000020: 2009 2020 0920 2020 2020 0909 0920 0909 . . ... ..

0000030: 0909 0920 0920 0920 0909 0920 2009 0909 ... . . ... ...

0000040: 0920 0920 2020 0909 0920 0909 2009 0920 . . ... .. ..

0000050: 0909 2009 0909 2009 2009 2009 0920 0909 .. ... . . .. ..

0000060: 0909 0909 0920 2020 2020 0920 2020 2020 ..... .

0000070: 0909 0920 2020 2020 0920 2020 2020 0909 ... . ..

0000080: 2020 0909 0909 0920 2020 0920 0909 2009 ..... . .. .

0000090: 0909 2009 0909 2020 2020 0909 0920 0920 .. ... ... .

00000a0: 2009 0909 2020 2020 2009 2020 2020 2009 ... . .

00000b0: 0920 0909 2009 0909 2020 2009 2009 0920 . .. ... . ..

00000c0: 0909 0920 0909 0920 2020 0909 0920 0920 ... ... ... .

00000d0: 0920 0909 2020 2009 2009 0909 2020 2020 . .. . ...

00000e0: 2009 0909 0909 09 ......

Reparamos que o arquivo é composto essencialmente pelos caracteres: 0x09 (TAB na tabela ASCII) e 0x20 (caracter ESPAÇO na tabela ASCII).

Como possuímos apenas dois tipos de caracteres, julgamos que este desafio era semelhante ao desafio do HnR onde estes caracteres traduziam-se em 0’s e 1’s e a flag era recuperada decodificando a representação binária da string. Tentamos esta abordagem, porém sem sucesso! :\

Então desconfiamos que tratava-se de código Morse, tentamos algumas combinações do tipo: 0x20 = ponto “.” e 0x09 = traço “-“. Invertemos isto e continuamos na mesma! -_-‘

Então voltamos à descrição do desafio.. mais cabra da peste? Tool com o mesmo nome?

Resolvemos pesquisar ferramentas de esteganografia e nos deparamos com o Virgulino, uma ferramenta criada pelos cabras porretas do LampiãoSec. Realmente, com a ajuda do mais cabra da peste da história do Brasil, ficou mole:

Day04_Bonus2_Stegossauro

O Virgulino nos mostrou que todos aqueles espaços e tabs na verdade escondem um mensagem criptografada com a Cifra de César. Criamos um script para fazer todas as rotações possíveis e encontramos a flag:

Day04_Bonus2_rotN

FLAG

seria virgulino o famoso lampiao?

CRIADO POR

RTFM – Red Team Freakin’ Maniacs

ChOkO

Rafael "ChOkO" possui 10 anos de experiência como consultor de Segurança da Informação dos quais atuou em diversos projetos, dentre as principais atividades desempenhadas destacam-se: (i) análise de requisitos de segurança tecnológica de projetos, (ii) análise de riscos, (iii) análise de malware, (iv) gestão de vulnerabilidades, (v) planejamento e execução de análises de vulnerabilidades e testes de intrusão. É co-fundador do RTFM, onde obteve experiência participando de campeonatos nacionais e internacionais, bem como, organizando competições e palestrando pelo projeto CTF-BR sobre este modelo de competição.