Writeup Minions CTFlearn

Writeup Minions CTFlearn

“Hey! Minions have stolen my flag, encoded it few times in one cipher, and then hidden it somewhere there: https://mega.nz/file/1UBViYgD#kjKISs9pUB4E-1d79166FeX3TiY5VQcHJ_GrcMbaLhg Can you help me? TIP: Decode the flag until you got a sentence”

(“Hey! Los minions han robado mi flag, cifrado varias veces en un cifradode una vez y después lo han escondido en algún sitio aquí:

https://mega.nz/file/1UBViYgD#kjKISs9pUB4E-1d79166FeX3TiY5VQcHJ_GrcMbaLhg ¿Me puedes ayudar?. PISTA: descifra la flag hasta que tengas una frase”)

El link contiene la imagen inicial en la que los minions han escondido la flag.

miniom_1

binwalk -e Hey_You.png

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PNG image, 1144 x 1056, 8-bit/color RGBA, non-interlaced
91            0x5B            Zlib compressed data, compressed
868059        0xD3EDB         RAR archive data, version 5.x
---

Como podemos observar, entre los extraidos hay un archivo interesante, el RAR. ]

unrar x D3EDB.rar rar

UNRAR 6.00 freeware      Copyright (c) 1993-2020 Alexander Roshal


Extracting from D3EDB.rar

Creating    rar/You_Still_Here                                        OK
Creating    rar/You_Still_Here/Nothing_Here_16                        OK
Extracting  rar/You_Still_Here/Nothing_Here_16/..txt                  OK 
Creating    rar/You_Still_Here/Nothing_Here_1                         OK
Creating    rar/You_Still_Here/Nothing_Here_10                        OK
Creating    rar/You_Still_Here/Nothing_Here_11                        OK
Creating    rar/You_Still_Here/Nothing_Here_12                        OK
Creating    rar/You_Still_Here/Nothing_Here_13                        OK
Creating    rar/You_Still_Here/Nothing_Here_14                        OK
Creating    rar/You_Still_Here/Nothing_Here_15                        OK
Creating    rar/You_Still_Here/Nothing_Here_17                        OK
Creating    rar/You_Still_Here/Nothing_Here_18                        OK
Creating    rar/You_Still_Here/Nothing_Here_19                        OK
Creating    rar/You_Still_Here/Nothing_Here_2                         OK
Creating    rar/You_Still_Here/Nothing_Here_3                         OK
Creating    rar/You_Still_Here/Nothing_Here_4                         OK
Creating    rar/You_Still_Here/Nothing_Here_5                         OK
Creating    rar/You_Still_Here/Nothing_Here_6                         OK
Creating    rar/You_Still_Here/Nothing_Here_7                         OK
Creating    rar/You_Still_Here/Nothing_Here_8                         OK
Creating    rar/You_Still_Here/Nothing_Here_9                         OK
All OK

Al descomprimirlo usando el comando “unrar x D3EDB.rar [carpeta destino]” hay una carpeta llamada en la que hay muchas carpetas que por los nombres indican que en alguna de ellas hay una flag escondida.

Para buscar entre las carpetas, en estos casos de CTF se puede usar la herramienta “tree” para no tener que ir viendo el contenido de cada carpeta una a una. (Para instalarlo: “sudo apt-get install tree”) En este caso, la busqueda con tree no saca ningún archivo a simple vista de las carpetas, por lo que se usa el “-a” para que saque todos los archivos incluso los escondidos.

❯ tree -a
.
└── You_Still_Here
    ├── Nothing_Here_1
    ├── Nothing_Here_10
    ├── Nothing_Here_11
    ├── Nothing_Here_12
    ├── Nothing_Here_13
    ├── Nothing_Here_14
    ├── Nothing_Here_15
    ├── Nothing_Here_16
    │   └── ..txt
    ├── Nothing_Here_17
    ├── Nothing_Here_18
    ├── Nothing_Here_19
    ├── Nothing_Here_2
    ├── Nothing_Here_3
    ├── Nothing_Here_4
    ├── Nothing_Here_5
    ├── Nothing_Here_6
    ├── Nothing_Here_7
    ├── Nothing_Here_8
    └── Nothing_Here_9

Ahora sí saca archivos, el <..txt> y al abrirlo contiene el siguiente link : https://mega.nz/file/wZw2nAhS#i3Q0r-R8psiB8zwUrqHTr661d8FiAS1Ott8badDnZko

miniom_2

Esta es la imagen que contiene al ser el mismo formato que la primera parte de este reto, intentamos la misma aproximación de buscar archivos extraíbles. Al rehacer el proceso, sale un .rar y un .jpg y al descomprimir el .rar saca otra imagen con el mismo nombre.

miniom_3

Al hacer “strings” al segundo .jpg, se ven muchas frases con sentido pero no con formato de flag por lo que para filtrar entre esas frases se usa el comando “grep” buscando la cadena , el envoltorio de la flag que se busca.

strings YouWon\(Almost\).jpg | grep CTF
CTF{VmtaU1IxUXhUbFZSYXpsV1RWUnNRMVpYZEZkYWJFWTJVVmhrVlZGVU1Eaz0=)

Tiene el formato de la flag, pero no de texto en claro y teniendo en cuenta la pista del enunciado indica que esta es la flag pero cifrada. Al ver ese “=” al final, tiene pinta de ser un cifrado base64.

Al descifrarlo en base64 nos da otra cadena con pinta de base64 también por lo que teniendo en cuenta de nuevo la pista del enunciado, desciframos otra vez y así hasta que da saca un texto legible.

CTFlearn{M1NI0NS_***_****}

Este artículo ha sido redactado con fines educativos. Cualquier acción derivada de este artículo que no tenga dicho fin entra en conflicto con nuestro propósito de hacer divulgación de contenido educativo, y es objeto de nuestra condena más enérgica.

jvalserac
comments powered by Disqus