====== HTB ~~ Stego Challenges ~~ Forest [owned] ======
[[informatique:hacking:challenges:hackthebox:challenges:stego:start|Retour]]

-

===== Présentation =====

Type : ''Medium''\\
Owned : ''Yes'' 8-)\\
Retired : ''No''\\
Added : ''2017-09-26''

<code>
Explore the forest and capture the flag! 
</code>

1 fichier :
  * ''forest.jpg''


===== Résolution =====

<note warning>ERREUR MAUVAIS CHALLENGE</note>

''file *''

<code>
monalisa.jpg:                                               JPEG image data, JFIF standard 1.01, resolution (DPI), density 300x300, segment length 16, comment: "CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 92", comment: "Optimized by JPEGmini 3.9.20.0L Internal 0x8c97c7da", baseline, precision 8, 1280x1936, components 3

Plans.jpg:                                                  JPEG image data, JFIF standard 1.02, aspect ratio, density 100x100, segment length 16, baseline, precision 8, 800x600, components 3

Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg: JPEG image data, JFIF standard 1.01, resolution (DPI), density 1x1, segment length 16, baseline, precision 8, 376x490, components 3
</code>



''binwalk'' révèle que le fichier ''monalisa.jpg'' contient une archive nommée ''famous.zip''.

<code>
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01

WARNING: Extractor.execute failed to run external extractor 'jar xvf '%e'': [Errno 2] No such file or directory: 'jar': 'jar', 'jar xvf '%e'' might not be installed correctly
450363        0x6DF3B         Zip archive data, at least v2.0 to extract, uncompressed size: 117958, name: famous.zip
450440        0x6DF88         Zip archive data, encrypted at least v2.0 to extract, compressed size: 117776, uncompressed size: 122869, name: Mona.jpg
568411        0x8AC5B         End of Zip archive, footer length: 22
568537        0x8ACD9         End of Zip archive, footer length: 22
</code>

L'archive ''famous.zip'' est protégée par mot de passe.
J'ai essayé plusieurs mots de passe différents en me basant sur l'indice donné par l'image ''Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg'' //(TOM, tom, Tom,  HANKS, hanks, Hanks, JEFFREY, jeffrey, Jeffrey)//, sans succès.

''strings'' retourne une URL à la fin du fichier ''Plans.jpg'' : [[https://www.youtube.com/watch?v=jc1Nfx4c5LQ]]
ça ne semble rien m'apporter...


En éditant le fichier ''Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg'' je constate une chaine de caractères que j'ai déjà vu dans d'autres cas : ''&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ƒ„…†''.
Les fois précédentes c'était lorsqu'il y avait des données à extraire avec ''steghide''.
Du coup on essaie, surtout que nous avons une indication du mot de passe possible (''TOM'').

<code>
steghide --extract -sf Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg
Enter passphrase:
wrote extracted data to "S3cr3t_m3ss@g3.txt".
</code>

Le fichier ''S3cr3t_m3ss@g3.txt'' contient ceci :
<code>
Hey Filippos,
This is my secret key for our folder.... (key:020e60c6a84db8c5d4c2d56a4e4fe082)
I used an encryption with 32 characters. hehehehehe! No one will find it! ;)
Decrypt it... It's easy for you right?
Don't share it with anyone...plz!


if you are reading that, call me!
I need your advice for my new CTF challenge!

Kisses,
-Luc1f3r
</code>

On retrouve un hash md5 : ''020e60c6a84db8c5d4c2d56a4e4fe082'', qui une fois déchiffré donne ''leonardo''.

Il s'avère que c'est le bon mot de passe pour décompresser l'archive trouvée précédemment. Elle contient 1 fichier : ''Mona.jpg''.

Détermination du type de fichier :
<code>
file Mona.jpg
Mona.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 612x612, components 3
</code>

J'ai essayé quelques analyses (strings, binwalk, hexdump, stegsolve...), sans succès.

Je retrouve la chaine ''&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ƒ„…†'' dans le fichier mais je n'ai aucune information quant au mot de passe pour extraire les données avec ''steghide''...

Je retourne sur la vidéo YouTube trouvée précédemment dans un des fichiers.
ça semble ne rien ne m'apporter. Je regarde les commentaires, d'autres utilisateurs sont arrivés ici via HackTheBox. Un d'entre eux donne un indice de taille : se référer au titre de la vidéo (''Guernica 3D'').

Du coup j'essaie le mot de passe ''Guernica'', ça fonctionne.

<code>
steghide --extract -sf Mona.jpg
Enter passphrase:
wrote extracted data to "key".
</code>

Le fichier ''key'' contient la chaine de caractères suivante : ''VTBaU1EyVXdNSGRpYTBKbVZFUkdObEZHT0doak1UbEZUVEJDUldaUlBUMD0=''.

C'est du base64. Décodé ça donne ''U0ZSQ2UwMHdia0JmVERGNlFGOGhjMTlFTTBCRWZRPT0=''.
On reste dans du base64.

Décodé ça donne ''SFRCe00wbkBfTDF6QF8hc19EM0BEfQ==''.
Toujours du base64.

Décodé ça donne ''HTB{M0n@_L1z@_!s_D3@D}''.

Voilà :-) 8-)

Ma seule difficulté dans ce challenge a été de trouver que le mot de passe pour une des archive était une partie du titre de la vidéo YouTube.

===== FLAG =====

''HTB{AmAz1nGsKilLzZBr0}''

{{tag> HackTheBox Hacking Steganography jpg owned }}