HTB ~~ Stego Challenges ~~ Forest [owned]

Retour

-

Type : Medium
Owned : Yes
Retired : No
Added : 2017-09-26

Explore the forest and capture the flag! 

1 fichier :

• forest.jpg

file *

monalisa.jpg:                                               JPEG image data, JFIF standard 1.01, resolution (DPI), density 300x300, segment length 16, comment: "CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 92", comment: "Optimized by JPEGmini 3.9.20.0L Internal 0x8c97c7da", baseline, precision 8, 1280x1936, components 3

Plans.jpg:                                                  JPEG image data, JFIF standard 1.02, aspect ratio, density 100x100, segment length 16, baseline, precision 8, 800x600, components 3

Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg: JPEG image data, JFIF standard 1.01, resolution (DPI), density 1x1, segment length 16, baseline, precision 8, 376x490, components 3

binwalk révèle que le fichier monalisa.jpg contient une archive nommée famous.zip.

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01

WARNING: Extractor.execute failed to run external extractor 'jar xvf '%e'': [Errno 2] No such file or directory: 'jar': 'jar', 'jar xvf '%e'' might not be installed correctly
450363        0x6DF3B         Zip archive data, at least v2.0 to extract, uncompressed size: 117958, name: famous.zip
450440        0x6DF88         Zip archive data, encrypted at least v2.0 to extract, compressed size: 117776, uncompressed size: 122869, name: Mona.jpg
568411        0x8AC5B         End of Zip archive, footer length: 22
568537        0x8ACD9         End of Zip archive, footer length: 22

L'archive famous.zip est protégée par mot de passe. J'ai essayé plusieurs mots de passe différents en me basant sur l'indice donné par l'image Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg (TOM, tom, Tom, HANKS, hanks, Hanks, JEFFREY, jeffrey, Jeffrey), sans succès.

strings retourne une URL à la fin du fichier Plans.jpg : https://www.youtube.com/watch?v=jc1Nfx4c5LQ ça ne semble rien m'apporter…

En éditant le fichier Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg je constate une chaine de caractères que j'ai déjà vu dans d'autres cas : &'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ƒ„…†. Les fois précédentes c'était lorsqu'il y avait des données à extraire avec steghide. Du coup on essaie, surtout que nous avons une indication du mot de passe possible (TOM).

steghide --extract -sf Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg
Enter passphrase:
wrote extracted data to "S3cr3t_m3ss@g3.txt".

Le fichier S3cr3t_m3ss@g3.txt contient ceci :

Hey Filippos,
This is my secret key for our folder.... (key:020e60c6a84db8c5d4c2d56a4e4fe082)
I used an encryption with 32 characters. hehehehehe! No one will find it! ;)
Decrypt it... It's easy for you right?
Don't share it with anyone...plz!


if you are reading that, call me!
I need your advice for my new CTF challenge!

Kisses,
-Luc1f3r

On retrouve un hash md5 : 020e60c6a84db8c5d4c2d56a4e4fe082, qui une fois déchiffré donne leonardo.

Il s'avère que c'est le bon mot de passe pour décompresser l'archive trouvée précédemment. Elle contient 1 fichier : Mona.jpg.

Détermination du type de fichier :

file Mona.jpg
Mona.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 612x612, components 3

J'ai essayé quelques analyses (strings, binwalk, hexdump, stegsolve…), sans succès.

Je retrouve la chaine &'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ƒ„…† dans le fichier mais je n'ai aucune information quant au mot de passe pour extraire les données avec steghide…

Je retourne sur la vidéo YouTube trouvée précédemment dans un des fichiers. ça semble ne rien ne m'apporter. Je regarde les commentaires, d'autres utilisateurs sont arrivés ici via HackTheBox. Un d'entre eux donne un indice de taille : se référer au titre de la vidéo (Guernica 3D).

Du coup j'essaie le mot de passe Guernica, ça fonctionne.

steghide --extract -sf Mona.jpg
Enter passphrase:
wrote extracted data to "key".

Le fichier key contient la chaine de caractères suivante : VTBaU1EyVXdNSGRpYTBKbVZFUkdObEZHT0doak1UbEZUVEJDUldaUlBUMD0=.

C'est du base64. Décodé ça donne U0ZSQ2UwMHdia0JmVERGNlFGOGhjMTlFTTBCRWZRPT0=. On reste dans du base64.

Décodé ça donne SFRCe00wbkBfTDF6QF8hc19EM0BEfQ==. Toujours du base64.

Décodé ça donne HTB{M0n@_L1z@_!s_D3@D}.

Voilà

Ma seule difficulté dans ce challenge a été de trouver que le mot de passe pour une des archive était une partie du titre de la vidéo YouTube.

HTB{AmAz1nGsKilLzZBr0}