Skip to content

Instantly share code, notes, and snippets.

@BobuSumisu

BobuSumisu/pst.md Secret

Last active Jan 10, 2019
Embed
What would you like to do?
PST writeup

PST-nøtt write-up

Kladdete write-up av PSTs jobbannonsenøtt.

Steg 1

Vi var gitt følgende tekst i annonsen:

En oktobermorgen fikk vi pulsen til å øke
var det en hackeR som hadde lykkes med forsøkeT
men en HAI I en TWeeT
er ikke særlig 1337.
løser du gåtEn bør dU vurdere å søke

Antok mixed case i teksten var med hensikt. Samlet de store bokstavene:

ERTHAIITWTEU

Etter mye tull med forsøk på forskjellig ciphers og shit uten hell, kom jeg på at .eu er et domene. Med tanke på teksten var det da "lett" å se at skulle bli

TWITTERHAI EU

Steg 2

http://twitterhai.eu var det et bilde av en hai og noe tekst. Lastet ned bildet og kjørt exiftool:

$ exiftool 1337_shrk.jpg
...
Comment                         : /haitech_secure.html
...

Steg 3

http://twitterhai.eu/haitech_secure.html er det en del tekst og en form for å skrive inn et passord.

Ser i kildekoden at det er en enkel xor-kryptering og vi er gitt ciphertext. Men ser at det er en teit sjekk etter rett passord så henter den koden inn i vim og fikler litt rundt:

password.charCodeAt(0) == 8*8+8                             --> H
password.charCodeAt(1) == Math.pow(9,2) - 29                --> 4
password.charCodeAt(2) == Math.pow(10, 2) + Math.pow(3, 2)  --> m
password.charCodeAt(3) == password.charCodeAt(2)            --> m
password.substring(4, 5) == 3                               --> 3
password.charCodeAt(5) == 7*17-5                            --> r
password.charCodeAt(6) == password.charCodeAt(0)            --> H
password.charCodeAt(7) == password.charCodeAt(1)            --> 4
password.charCodeAt(8) == 0x69                              --> i

Skriver inn passordet og får en rot-13 streng:

uggc://gjvggreunv.grpu/unv_gurer.ugzy --> http://twitterhai.tech/hai_there.html

Der får vi oppfordring om å følge https://twitter.com/twitt3rhai.

Steg 4

Den siste tweeten til twitt3rhai er:

#justdoit, or make your ROBOTS do it. Transfer teXt to an ediTor

Antar det er noe i robots.txt:

User-agent: *
Disallow: /min_hemmelige_mappe/

Steg 5

I http://twitterhai.tech/min_hemmelige_mappe/ ligger en PCAP-fil.

Ser i den HTTP-trafikk mot 192.168.230.129 hvor en zip-fil er lastet ned. Henter ut med wiresharks export HTTP objects-funksjon.

Zip-filen er passord-beskyttet, og på nettsiden stod det:

Passordet har du allerede...

Wasted så en del tid på å lete etter passord i PCAP...

Sjekket til slutt @twitt3rhai igjen og stusset over "Transfer teXt to an ediTor" i siste tweet.

Kopierte et par av tweetene inn i vim og så at whitespace dannet bokstaver. Gadd ikke kopiere alt, åpnet console og kjørte:

document.querySelectorAll('.tweet-text').forEach(n => console.error(n.innerHTML));

Ser at teksten HAI1337 skrives (negativt).

Steg 6

Zip-filen inneholdt et bilde. Bildet er av en hai med "LSB" i runer på seg. Prøvde hente ut bilde fra LSB, fikk opp QR-kode med tekst:

You thought we would hide anything of SIGNIFICANCE? Not the LEAST...

OK, henter ut most significant bits da. Ikke noe interessant bilde, men som data gir første del neste steg: http://twitterhai.tech/u_are_th3_winrar.jpg

Steg 7

Enda et bilde, ja. Søker etter enden på JPG (ff d9). Ser at det starter en Rar-header like etter første treff. Henter det ut:

$ dd if=u_are_th3_winrar.jpg of=foo.rar bs=1 skip=66398
$ unrar x foo.rar

Voila:

gratulerer.gif:      GIF image data, version 89a, 1500 x 600
gratulerer.txt:      ISO-8859 text, with very long lines, with CRLF line terminators

ISO-8859 lol. Etter en rask iconv gratuleres vi og oppfordres til å søke på stillingen. Vi får også 4500 ord med lorem ipsum dummytext.

Bildet er så klart en animert gif av en gratulerende/skålende Leonardo DiCaprio fra The Great Gatsby.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment