Differences

This shows you the differences between two versions of the page.

--- htb-challenges-stego-pusheenlovesgraphs [2019/06/24 13:23] – [Présentation] didzkovitchz
+++ htb-challenges-stego-pusheenlovesgraphs [2020/12/15 21:45] (current) – removed didzkovitchz
@@ Line 1: / Line 1: @@
-====== HTB ~~ Stego Challenges ~~ Pusheen Loves Graphs ======
-[[htb|Retour]]
--
-===== Présentation =====
-<code>
-Pusheen just loves graphs, Graphs and IDA.
-Did you know cats are weirdly controlling about their reverse engineering tools?
-Pusheen just won't use anything except IDA.
-</code>
-fichier :
-  * ''monalisa.jpg''
-===== Résolution =====
-''file *''
-<code>
-monalisa.jpg:                                               JPEG image data, JFIF standard 1.01, resolution (DPI), density 300x300, segment length 16, comment: "CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 92", comment: "Optimized by JPEGmini 3.9.20.0L Internal 0x8c97c7da", baseline, precision 8, 1280x1936, components 3
-Plans.jpg:                                                  JPEG image data, JFIF standard 1.02, aspect ratio, density 100x100, segment length 16, baseline, precision 8, 800x600, components 3
-Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg: JPEG image data, JFIF standard 1.01, resolution (DPI), density 1x1, segment length 16, baseline, precision 8, 376x490, components 3
-</code>
-''binwalk'' révèle que le fichier ''monalisa.jpg'' contient une archive nommée ''famous.zip''.
-<code>
-DECIMAL       HEXADECIMAL     DESCRIPTION
---------------------------------------------------------------------------------
-             0x0             JPEG image data, JFIF standard 1.01
-WARNING: Extractor.execute failed to run external extractor 'jar xvf '%e'': [Errno 2] No such file or directory: 'jar': 'jar', 'jar xvf '%e'' might not be installed correctly
-        0x6DF3B         Zip archive data, at least v2.0 to extract, uncompressed size: 117958, name: famous.zip
-        0x6DF88         Zip archive data, encrypted at least v2.0 to extract, compressed size: 117776, uncompressed size: 122869, name: Mona.jpg
-        0x8AC5B         End of Zip archive, footer length: 22
-        0x8ACD9         End of Zip archive, footer length: 22
-</code>
-L'archive ''famous.zip'' est protégée par mot de passe.
-J'ai essayé plusieurs mots de passe différents en me basant sur l'indice donné par l'image ''Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg'' //(TOM, tom, Tom,  HANKS, hanks, Hanks, JEFFREY, jeffrey, Jeffrey)//, sans succès.
-''strings'' retourne une URL à la fin du fichier ''Plans.jpg'' : [[https://www.youtube.com/watch?v=jc1Nfx4c5LQ]]
-ça ne semble rien m'apporter...
-En éditant le fichier ''Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg'' je constate une chaine de caractères que j'ai déjà vu dans d'autres cas : ''&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ƒ„…†''.
-Les fois précédentes c'était lorsqu'il y avait des données à extraire avec ''steghide''.
-Du coup on essaie, surtout que nous avons une indication du mot de passe possible (''TOM'').
-<code>
-steghide --extract -sf Thepassword_is_the_small_name_of_the_actor_named_Hanks.jpg
-Enter passphrase:
-wrote extracted data to "S3cr3t_m3ss@g3.txt".
-</code>
-Le fichier ''S3cr3t_m3ss@g3.txt'' contient ceci :
-<code>
-Hey Filippos,
-This is my secret key for our folder.... (key:020e60c6a84db8c5d4c2d56a4e4fe082)
-I used an encryption with 32 characters. hehehehehe! No one will find it! ;)
-Decrypt it... It's easy for you right?
-Don't share it with anyone...plz!
-if you are reading that, call me!
-I need your advice for my new CTF challenge!
-Kisses,
--Luc1f3r
-</code>
-On retrouve un hash md5 : ''020e60c6a84db8c5d4c2d56a4e4fe082'', qui une fois déchiffré donne ''leonardo''.
-Il s'avère que c'est le bon mot de passe pour décompresser l'archive trouvée précédemment. Elle contient 1 fichier : ''Mona.jpg''.
-Détermination du type de fichier :
-<code>
-file Mona.jpg
-Mona.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 612x612, components 3
-</code>
-J'ai essayé quelques analyses (strings, binwalk, hexdump, stegsolve...), sans succès.
-Je retrouve la chaine ''&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ƒ„…†'' dans le fichier mais je n'ai aucune information quant au mot de passe pour extraire les données avec ''steghide''...
-Je retourne sur la vidéo YouTube trouvée précédemment dans un des fichiers.
-ça semble ne rien ne m'apporter. Je regarde les commentaires, d'autres utilisateurs sont arrivés ici via HackTheBox. Un d'entre eux donne un indice de taille : se référer au titre de la vidéo (''Guernica 3D'').
-Du coup j'essaie le mot de passe ''Guernica'', ça fonctionne.
-<code>
-steghide --extract -sf Mona.jpg
-Enter passphrase:
-wrote extracted data to "key".
-</code>
-Le fichier ''key'' contient la chaine de caractères suivante : ''VTBaU1EyVXdNSGRpYTBKbVZFUkdObEZHT0doak1UbEZUVEJDUldaUlBUMD0=''.
-C'est du base64. Décodé ça donne ''U0ZSQ2UwMHdia0JmVERGNlFGOGhjMTlFTTBCRWZRPT0=''.
-On reste dans du base64.
-Décodé ça donne ''SFRCe00wbkBfTDF6QF8hc19EM0BEfQ==''.
-Toujours du base64.
-Décodé ça donne ''HTB{M0n@_L1z@_!s_D3@D}''.
-Voilà :-) 8-)
-Ma seule difficulté dans ce challenge a été de trouver que le mot de passe pour une des archive était une partie du titre de la vidéo YouTube.
-===== FLAG =====
-''HTB{M0n@_L1z@_!s_D3@D}''