Outils d'utilisateurs

Outils du Site


ndhquals2015:cooper

Ceci est une ancienne révision du document !


Enoncé :

  "I am not crazy, my mother had me tested." (Sheldon)
  
  What did Sheldon ... huh sorry, Dr. Cooper really mean?
  
  Score
      300
  Link
      http://static.challs.nuitduhack.com/Cooper.tar.gz 
      

L'archive contient un exécutable PE 32 bits s'appellant “Cooper.exe”.

Son exécution affichait la fenêtre suivante :

puu.sh_h2j6p_e2c8cff69c.jpg

On utilise foremost pour extraire les fichiers contenus dans l'exécutable, et Resource Hacker pour extraire le bitmap depuis les ressources du PE.

  spl3en@box $ foremost Cooper.exe 
  spl3en@box $ tree output/
  output/
  ├── audit.txt
  ├── exe
  │   └── 00000000.exe
  ├── pdf
  │   └── 00000000.pdf
  └── zip
      └── 00000969.zip

On récupère : - Un zip contenant du code provenant du GitHub de feider (https://github.com/feider/Stegano-BMP) pour cacher un message dans un Bitmap - Un PDF protégé par un mot de passe

Après des tentatives infructueuses pour récupérer un message caché dans le bitmap de l'exécutable, nous avons bruteforcé le password du PDF.

Il se trouve qu'il était simple : Il s'agissait de sheldon.

On récupère ainsi le contenu du flag dans le PDF :

puu.sh_h2jci_44ce9b8020.jpg

ndhquals2015/cooper.1428240477.txt.gz · Dernière modification: 2017/04/09 15:33 (modification externe)