PHDays CTF Quals 2012 –
Misc 200

PHDays CTF 2012 - Misc 200 - task description

Diese Challenge (Misc 200) hat das Ziel, das “braune Quadrat” näher zu untersuchen um darin wohlmöglich weitere Informationen zu finden. Zusätzlich zu dieser Aufgabenbeschreibung erhalten wir eine ZIP-Datei.

Als erstes entpacken wir das Archiv und stellen fest, dass ein GIF-Bild enthalten ist, das sich wie folgt darstellt:

PHDays CTF 2012 - Misc 200 - original GIF image

Zu unserer Überraschung finden wir kein “braunes Quadrat”, sondern nur ein schwarzes. Der Text aus der Aufgabenbeschreibung könnte jedoch ein Hinweis sein, dass Farben bei der Lösung dieser Challenge eine Rolle spielen.

Im Vergleich zu anderen Bildformaten unterscheiden sich GIF-Dateien unter anderem dadurch, dass nicht jeder Pixel für sich eine Farbe erhält, sondern jedem Pixel eine Farbe aus einer vorher definierten Farbtabelle (einer sogenannten colormap) zugeordnet wird.

Wir könnten nun, wie allgemein üblich, das Werkzeug Stegsolve verwenden um einige Untersuchungen an der GIF-Datei durchzuführen und dabei auch die Farbtabellen überprüfen. An dieser Stelle möchte ich jedoch zeigen, wie man auch mit dem Programm GIMP zum Ziel kommen kann.
Continue reading

Defcon 20 CTF Prequals 2012 –
Grab Bag 200

Bei dieser Challenge (Grab Bag 200) wird uns eine Datei zur Verfügung gestellt und nicht mehr das Ziel “Get the key!” genannt. Die Festellung, dass es sich bei Datei um ein Zip-Archiv handelt, habe ich bereits voraus gegriffen und die Datei entsprechend umbenannt. ;-)

Beginnen wir also mit der ersten Untersuchung der Daten.

rup0rt@lambda:~/grab200$ unzip grab200-95a9797075e36edfe649a0141b7cf2b2.zip
Archive:  grab200-95a9797075e36edfe649a0141b7cf2b2.zip
  inflating: 115e0ba3c3d72647fcb9a53ae90e47a6.jpg  
   creating: __MACOSX/
  inflating: __MACOSX/._115e0ba3c3d72647fcb9a53ae90e47a6.jpg  

rup0rt@lambda:~/grab200$ file 115e0ba3c3d72647fcb9a53ae90e47a6.jpg
115e0ba3c3d72647fcb9a53ae90e47a6.jpg: JPEG image data, JFIF standard 1.01

rup0rt@lambda:~/grab200$ file __MACOSX/._115e0ba3c3d72647fcb9a53ae90e47a6.jpg
__MACOSX/._115e0ba3c3d72647fcb9a53ae90e47a6.jpg: AppleDouble encoded Macintosh file

Das Archiv beinhaltet ein Bild im Jpeg-Format und eine versteckte Datei, die vom Namen her mit dem Bild assoziiert zu sein scheint. Vom bloßen Hinsehen scheinen wir bei diesem Spassbild die Lösung der Challenge jedenfalls nicht ablesen zu können.

Defcon 20 CTF 2012 - Grab Bag 200 - forensic image

Auch eine gezielte Suche nach dem Verzeichnis “__MACOSX” und dem Typ “AppelDouble encoded Macintosh file” bringt uns nur zu der Erkenntnis, dass es sich hierbei um einen sogenannten “resource fork” handelt, der bei Mac OS beim Packen von Archiven üblich ist. Sehen wir uns nun die beiden Dateien also etwas genauer an. Continue reading

plaidCTF 2012 – 3D

plaidCTF 2012 - 3D - task description

In dieser Challenge (3D) wird uns eine Datei mit der Information zur Verfügung gestellt, dass es sich um eine neue Kamera-Technologie handeln soll. Ziel für uns scheint es zu sein, die Datei zu analysieren und daraus irgendwie den Schlüssel zu extrahieren.

Erster Schritt ist die Datei grundlegend zu untersuchen und wenn möglich deren Dateityp festzustellen.

rup0rt@lambda:~/3d$ file edbd4701d0b9d2a33a743e96f7bc8f3b
edbd4701d0b9d2a33a743e96f7bc8f3b: JPEG image data, EXIF standard

rup0rt@lambda:~/3d$ ls -lh edbd4701d0b9d2a33a743e96f7bc8f3b
-rw-r--r-- 1 rup0rt rup0rt 6.1M Apr 28 11:12 edbd4701d0b9d2a33a743e96f7bc8f3b

Es handelt sich also um eine Bilddatei im JPEG-Format, die mit zusätzlichen Metadaten (EXIF) versehen zu sein scheint. Darüber hinaus ist auffällig, dass die Datei für ein JPEG-Bild relativ groß ist. Sehen wir uns zunächst noch die EXIF-Daten der Datei mit dem Werkzeug “exiftags” an.
Continue reading