Defcon 2006 find the key

5 de dezembro de 2014
 |  Nenhum comentário

Recentemente um amigo ‘Rodrigo Martins’ http://www.comunicacaobinaria.com.br/ me convidou para brincar no CTF da https://www.shellterlabs.com, fiquei bem animado com os desafios e resolvi demonstrar um de vários que existem lá, este foi escolhido primeiramente por se tratar de forense (gosto bastante), segundo por ser muito simples e terceiro, que o conhecimento utilizado neste desafio fará com que encare diversos outros com facilidade, hoje no momento que escrevo este estou ná Trigésima terceira posição (33) o ‘Rodrigo Martins’ já me passou e está disparado na frente XD .

O desafio escolhido é um da DEFCON de 2006 ‘Find the key’ [ vale 300 pts ] Desafio 2006 Find the key

Sua descrição: ‘find the key’

Vários deles possuem essa maravilhosa descrição do objetivo, mas, normalmente ao encontrar a chave ou chegar ao objetivo fica claro que você chegou ou encontrou

para este desafio é entregue um arquivo e o download deste pode ser feito na url acima

apenas para validar o arquivo, seguem algumas informações do mesmo na minha maquina de analise

aparentemente um arquivo x-gzip mas vamos validar se de fato ele é quem diz ser.

vamos descompacta-lo do modo convencional.

observer que foi extraido dentro de uma pasta Forensics300/flpy.img.gz sendo um outro arquivo aparentemente de imagem compactado.

vamos garantir novamente que ele diz ser quem é, e descompacta-lo.

vamos validar essa suposta imagem

olha que interessante, tudo indicar que é uma imagem de um disquete com uma partição DOS, para validar seu formato vamos usar o hexdump para visualizar os primeiros 64 bytes.

pronto, problema solucionado, só montar a unidade e encontrará a chave, o linux é capaz de montar este arquivo com facilidade, constatamos que é FAT12.

não creio que este seja o desafio, muito simples, mas onde estaria essa chave? lembrando que arquivos podem ser apagados do disco, sendo assim, vamos utilizar um programa que faz parte de um suite de ferramentas chamado sleuthkit, certamente deve existir no repositória de seu sistema, caso contrário pode encontra-lo neste link:
Sleuthkit

Já sabemos que de nada adiantou montar o dispositivo, mas, era necessário, caso contrário nunca chegariamos até aqui, estando com sleuthkit instalado, utilizer o comando fls para listar o filesystem da imagem.

olha que interesante, temos um arquivo bem sujestivo que pode ser nosso objetivo e outros objetos entre eles é um arquivo com final PY sujerindo que seja um script python, bom, de nada adianta a extensão e vamos analisar, como faremos para extrar esses arquios que já foram acreditamos que apagados?

o sleuthkit é um suite de ferramentas e nela podemos encontrar o icat outro comando que nos auxiliará na extração de dados.

observe que na saida do comando fls temos uma sequencia numérica para cada item listado, estes são os inodes, basicamente o endereço dele no disco, e para acessar seu conteúdo com o icat basta informa-lo da seguinte forma.

e de fato é uma image como pode ver abaixo.

eu não sei o que está escrito, pode até ser a chave que procuramos, mas temos apenas mais um arquivo a analisar, antes de tentar decifrar isso, vamos tentar olhar o outro arquivo.

olha que interesante este resultado, primeiro extraimos o arquivo e depois valido seu formato, e ele diz ser algo que não é, ou seja, acreditava que era um arquivo de script python, mas na verdade é um arquivo gzip, isso já o torna estranho, vamos tentar imprimir seu conteúdo para ver o que tem lá dentro.

e ta ae.