Enoncé :
"I am not crazy, my mother had me tested." (Sheldon) What did Sheldon ... huh sorry, Dr. Cooper really mean? Score 300 Link http://static.challs.nuitduhack.com/Cooper.tar.gz
L'archive contient un exécutable PE 32 bits s'appellant “Cooper.exe”.
Son exécution affichait la fenêtre suivante :
On utilise foremost
pour extraire les fichiers contenus dans l'exécutable, et Resource Hacker pour extraire le bitmap depuis les ressources du PE.
spl3en@box $ foremost Cooper.exe spl3en@box $ tree output/ output/ ├── audit.txt ├── exe │ └── 00000000.exe ├── pdf │ └── 00000000.pdf └── zip └── 00000969.zip
On récupère : - Un zip contenant du code provenant du GitHub de feider (https://github.com/feider/Stegano-BMP) pour cacher un message dans un Bitmap - Un PDF protégé par un mot de passe
Après des tentatives infructueuses pour récupérer un message caché dans le bitmap de l'exécutable, nous avons bruteforcé le password du PDF.
Il se trouve qu'il était simple : Il s'agissait de sheldon
.
On récupère ainsi le contenu du flag dans le PDF :