Skip to content

Instantly share code, notes, and snippets.

@BobuSumisu BobuSumisu/pst.md Secret
Last active Jan 10, 2019

Embed
What would you like to do?
PST writeup

PST-nøtt write-up

Kladdete write-up av PSTs jobbannonsenøtt.

Steg 1

Vi var gitt følgende tekst i annonsen:

En oktobermorgen fikk vi pulsen til å øke
var det en hackeR som hadde lykkes med forsøkeT
men en HAI I en TWeeT
er ikke særlig 1337.
løser du gåtEn bør dU vurdere å søke

Antok mixed case i teksten var med hensikt. Samlet de store bokstavene:

ERTHAIITWTEU

Etter mye tull med forsøk på forskjellig ciphers og shit uten hell, kom jeg på at .eu er et domene. Med tanke på teksten var det da "lett" å se at skulle bli

TWITTERHAI EU

Steg 2

http://twitterhai.eu var det et bilde av en hai og noe tekst. Lastet ned bildet og kjørt exiftool:

$ exiftool 1337_shrk.jpg
...
Comment                         : /haitech_secure.html
...

Steg 3

http://twitterhai.eu/haitech_secure.html er det en del tekst og en form for å skrive inn et passord.

Ser i kildekoden at det er en enkel xor-kryptering og vi er gitt ciphertext. Men ser at det er en teit sjekk etter rett passord så henter den koden inn i vim og fikler litt rundt:

password.charCodeAt(0) == 8*8+8                             --> H
password.charCodeAt(1) == Math.pow(9,2) - 29                --> 4
password.charCodeAt(2) == Math.pow(10, 2) + Math.pow(3, 2)  --> m
password.charCodeAt(3) == password.charCodeAt(2)            --> m
password.substring(4, 5) == 3                               --> 3
password.charCodeAt(5) == 7*17-5                            --> r
password.charCodeAt(6) == password.charCodeAt(0)            --> H
password.charCodeAt(7) == password.charCodeAt(1)            --> 4
password.charCodeAt(8) == 0x69                              --> i

Skriver inn passordet og får en rot-13 streng:

uggc://gjvggreunv.grpu/unv_gurer.ugzy --> http://twitterhai.tech/hai_there.html

Der får vi oppfordring om å følge https://twitter.com/twitt3rhai.

Steg 4

Den siste tweeten til twitt3rhai er:

#justdoit, or make your ROBOTS do it. Transfer teXt to an ediTor

Antar det er noe i robots.txt:

User-agent: *
Disallow: /min_hemmelige_mappe/

Steg 5

I http://twitterhai.tech/min_hemmelige_mappe/ ligger en PCAP-fil.

Ser i den HTTP-trafikk mot 192.168.230.129 hvor en zip-fil er lastet ned. Henter ut med wiresharks export HTTP objects-funksjon.

Zip-filen er passord-beskyttet, og på nettsiden stod det:

Passordet har du allerede...

Wasted så en del tid på å lete etter passord i PCAP...

Sjekket til slutt @twitt3rhai igjen og stusset over "Transfer teXt to an ediTor" i siste tweet.

Kopierte et par av tweetene inn i vim og så at whitespace dannet bokstaver. Gadd ikke kopiere alt, åpnet console og kjørte:

document.querySelectorAll('.tweet-text').forEach(n => console.error(n.innerHTML));

Ser at teksten HAI1337 skrives (negativt).

Steg 6

Zip-filen inneholdt et bilde. Bildet er av en hai med "LSB" i runer på seg. Prøvde hente ut bilde fra LSB, fikk opp QR-kode med tekst:

You thought we would hide anything of SIGNIFICANCE? Not the LEAST...

OK, henter ut most significant bits da. Ikke noe interessant bilde, men som data gir første del neste steg: http://twitterhai.tech/u_are_th3_winrar.jpg

Steg 7

Enda et bilde, ja. Søker etter enden på JPG (ff d9). Ser at det starter en Rar-header like etter første treff. Henter det ut:

$ dd if=u_are_th3_winrar.jpg of=foo.rar bs=1 skip=66398
$ unrar x foo.rar

Voila:

gratulerer.gif:      GIF image data, version 89a, 1500 x 600
gratulerer.txt:      ISO-8859 text, with very long lines, with CRLF line terminators

ISO-8859 lol. Etter en rask iconv gratuleres vi og oppfordres til å søke på stillingen. Vi får også 4500 ord med lorem ipsum dummytext.

Bildet er så klart en animert gif av en gratulerende/skålende Leonardo DiCaprio fra The Great Gatsby.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.