Kladdete write-up av PSTs jobbannonsenøtt.
Vi var gitt følgende tekst i annonsen:
En oktobermorgen fikk vi pulsen til å øke
var det en hackeR som hadde lykkes med forsøkeT
men en HAI I en TWeeT
er ikke særlig 1337.
løser du gåtEn bør dU vurdere å søke
Antok mixed case i teksten var med hensikt. Samlet de store bokstavene:
ERTHAIITWTEU
Etter mye tull med forsøk på forskjellig ciphers og shit uten hell, kom jeg på at .eu er et domene.
Med tanke på teksten var det da "lett" å se at skulle bli
TWITTERHAI EU
På http://twitterhai.eu var det et bilde av en hai og noe tekst. Lastet ned bildet og kjørt exiftool:
$ exiftool 1337_shrk.jpg
...
Comment : /haitech_secure.html
...På http://twitterhai.eu/haitech_secure.html er det en del tekst og en form for å skrive inn et passord.
Ser i kildekoden at det er en enkel xor-kryptering og vi er gitt ciphertext. Men ser at det er en teit sjekk etter rett passord så henter den koden inn i vim og fikler litt rundt:
password.charCodeAt(0) == 8*8+8 --> H
password.charCodeAt(1) == Math.pow(9,2) - 29 --> 4
password.charCodeAt(2) == Math.pow(10, 2) + Math.pow(3, 2) --> m
password.charCodeAt(3) == password.charCodeAt(2) --> m
password.substring(4, 5) == 3 --> 3
password.charCodeAt(5) == 7*17-5 --> r
password.charCodeAt(6) == password.charCodeAt(0) --> H
password.charCodeAt(7) == password.charCodeAt(1) --> 4
password.charCodeAt(8) == 0x69 --> iSkriver inn passordet og får en rot-13 streng:
uggc://gjvggreunv.grpu/unv_gurer.ugzy --> http://twitterhai.tech/hai_there.html
Der får vi oppfordring om å følge https://twitter.com/twitt3rhai.
Den siste tweeten til twitt3rhai er:
#justdoit, or make your ROBOTS do it. Transfer teXt to an ediTor
Antar det er noe i robots.txt:
User-agent: *
Disallow: /min_hemmelige_mappe/
I http://twitterhai.tech/min_hemmelige_mappe/ ligger en PCAP-fil.
Ser i den HTTP-trafikk mot 192.168.230.129 hvor en zip-fil er lastet ned. Henter ut med wiresharks export HTTP objects-funksjon.
Zip-filen er passord-beskyttet, og på nettsiden stod det:
Passordet har du allerede...
Wasted så en del tid på å lete etter passord i PCAP...
Sjekket til slutt @twitt3rhai igjen og stusset over "Transfer teXt to an ediTor" i siste tweet.
Kopierte et par av tweetene inn i vim og så at whitespace dannet bokstaver. Gadd ikke kopiere alt, åpnet console og kjørte:
document.querySelectorAll('.tweet-text').forEach(n => console.error(n.innerHTML));Ser at teksten HAI1337 skrives (negativt).
Zip-filen inneholdt et bilde. Bildet er av en hai med "LSB" i runer på seg. Prøvde hente ut bilde fra LSB, fikk opp QR-kode med tekst:
You thought we would hide anything of SIGNIFICANCE? Not the LEAST...
OK, henter ut most significant bits da. Ikke noe interessant bilde, men som data gir første del neste steg: http://twitterhai.tech/u_are_th3_winrar.jpg
Enda et bilde, ja. Søker etter enden på JPG (ff d9). Ser at det starter en Rar-header like etter første treff. Henter det ut:
$ dd if=u_are_th3_winrar.jpg of=foo.rar bs=1 skip=66398
$ unrar x foo.rarVoila:
gratulerer.gif: GIF image data, version 89a, 1500 x 600
gratulerer.txt: ISO-8859 text, with very long lines, with CRLF line terminatorsISO-8859 lol. Etter en rask iconv gratuleres vi og oppfordres til å søke på stillingen. Vi får også 4500 ord med lorem ipsum dummytext.
Bildet er så klart en animert gif av en gratulerende/skålende Leonardo DiCaprio fra The Great Gatsby.