Desde hace un mes aproximadamente formo parte del equipo de CTFs Caliphal Hounds. Hasta la fecha hemos participado en tres CTFs de forma oficial, como equipo completo, y por ahora no nos quejamos del resultado, y más teniendo en cuenta que apenas teníamos experiencia en ello. Break the Syntax es el último CTF en el que hemos participado hasta ahora. Tuvo lugar desde el viernes 2 de junio hasta el domingo 4 de junio de 2023 y tuvo retos de distintas disciplinas.
En este CTF pudimos resolver 7 retos, aunque estuvimos cerca de otros tres o cuatro. Pero eso nos anima a mejorar con cada reto que se nos presenta.
Aquí os traigo dos de los ejercicios de este Break The Syntax 2023. Espero que os sean de agrado y que os enseñen algo nuevo.
Podéis encontrar los archivos originales en mi github.
Marie Curie (Esteganografía) – Break the Syntax 2023
Este era el enunciado del ejercicio:
“A flag has been hidden in a small project about Marie Curie. However, the necessary information appears to be encrypted. Can you find the flag using the text and photo provided below?”
que traducido quiere decir:
«Se ha escondido una flag en un pequeño proyecto acerca de Marie Curie. Sin embargo, la información necesaria parece estar cifrada. ¿Puedes encontrar la flag usando el texto y la fotografía proporcionados?»
Y se nos proporcionaba la siguiente imagen:
Al pasarle la herramienta exiftool a la imagen, no obtenemos ningún dato relevante:
Después de esa herramienta, le pasamos binwalk pero tampoco obtenemos nada interesante:
Es por ello que pensé en pasar la herramienta steghide, por si tuviera algo oculto en la imagen. El resultado fue que me pidió una clave para extraer los datos, por lo que queda claro que hay datos en la imagen que pueden ser interesantes.
Una vez visto esto, me decidí a usar la herramienta stegseek con el diccionario kaonashi (la versión reducida, que pesa 1,0 Gb descomprimido). El resultado de este comando fue obtener la contraseña para extraer los datos de la imagen, pero además me creó un archivo en el que incluyó el texto que había en dichos datos:
Como vemos en la imagen anterior, había un archivo llamado «mariecurie.txt» oculto en la imagen. Si abrimos el archivo que ha creado, con extensión .jpeg.out, podemos encontrar la flag que buscamos:
Cabe decir que con este reto me marqué un «First Blood» que quiere decir que fui el primero del CTF en resolverlo.
Doner (Forense) – Break the Syntax 2023
En este caso, el enunciado del ejercicio era el siguiente:
“Do you like kebab? I do, but it’s hard to find a good one, could you help me?”
Que traducido vendría a decir:
«¿Te gusta el kebab? A mí sí, pero es complicado encontrar uno bueno, ¿puedes ayudarme?»
En el ejercicio podíamos descargar el siguiente archivo .jpg:
Al pasarle exiftool obtenemos el siguiente resultado:
Es por ello que me decidí a pasar binwalk, en cuyo caso sí obtuve resultados interesantes:
Como se puede ver en la imagen, esta oculta un archivo de tipo .zip y todo indica que tiene un archivo llamado .tortilla.jpg en su interior.
Decidí extraer el archivo .zip, pero me encontré con que no obtenía una contraseña válida con stegseek, así que, como en la imagen anterior se pueden ver los puntos donde comienza y acaba el archivo .zip, abrí un editor hexadecimal para eliminar la parte que no me interesaba del archivo, que era todo lo que quedaba antes. En este caso, descargué la imagen en Windows y usé el editor HxD, ya que permite eliminar los datos que queramos.
Eliminando toda la «basura», y guardando el archivo resultante como archivo.zip, obtenía lo siguiente:
Vemos que hay un archivo llamado tortilla.jpg dentro del zip, pero tiene una contraseña, como bien indica el candado a la derecha del nombre.
Usando la herramienta zip2john obtenemos un hash del archivo que podemos usar posteriormente en John the Ripper para crackear la contraseña. Usamos el comando:
zip2john archivo.zip > hashCon eso guardamos el resultado de zip2john en el archivo hash, que es el que después le pasaremos a John the Ripper. Una vez tenemos el archivo, procedemos a usar john con el comando:
john --wordlist=../../rockyou.txt hashEn mi caso, como yo ya había crackeado la contraseña antes de hacer este writeup, he tenido que usar el siguiente comando para poder acceder a dicha contraseña y mostrárosla:
john --show hashLo que me ha lanzado el siguiente resultado:
Ahí podemos ver que la contraseña del archivo es iloveyou. Extraemos el archivo tortilla.jpg del archivo comprimido y nos aparece la siguiente imagen:
Al analizar dicha imagen con exiftool obtuve los siguientes resultados:
Como podemos ver en la captura, hay unos datos de latitud y longitud GPS. Estos datos los podemos usar en Google Maps para buscar qué hay en esa ubicación, pero lo hacemos en este formato, ya que si no Maps no nos buscará los grados:
Esto nos lleva a un local de kebabs en Polonia llamado Habibi Doner.
Si recordamos el enunciado del ejercicio, nos pedía que le recomendáramos un local, por lo que pensé en revisar las reseñas, ordenándolas de más nueva a más antigua:
Y ahí hemos podido encontrar la tan ansiada flag para este reto.
Me gustaría recomendaros un par de libros para los amantes de la esteganografía, ya que ambos retos de Break The Syntax 2023 están relacionados con este campo:
Por último, ya sabéis que podéis dejar un comentario por aquí o en las redes sociales de La Ruta del Hacker, y os atenderé gustosamente en cuanto lo lea.
Muchas gracias por la aportación… el mundo de los CTFs es apasionante. Muy útil para aprender herramientas y nuevas técnicas en el mundo de la ciberseguridad.