CTF #nullcon 2012: Análisis Forense 2

• February 6, 2012
• tuxotron
• Hacking, Cyberlab, Seguridad

• Facebook
• Twitter
• Reddit
• LinkedIn

En este reto nos dan un documento word (Passport_Number.doc) y nos piden que encontremos un número de pasaporte que anda oculto dentro de dicho documento.

tuxotron@tuxotron-laptop:~/temp/nullcon$ file Passport_Number.doc 
Passport_Number.doc: CDF V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Author: Me, Template: Normal.dotm, Last Saved By: Me, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Create Time/Date: Sat Dec 31 18:38:00 2011, Last Saved Time/Date: Sat Dec 31 18:38:00 2011, Number of Pages: 1, Number of Words: 4, Number of Characters: 27, Security: 0

El comando file nos dice que es un fichero Microsoft Word. Cuando lo abrimos nos encontramos con esto:

¿Texto hexadecimal? Veamos…

tuxotron@tuxotron-laptop:~/temp/nullcon$ ruby -e 'puts ["446F20796F75207265616C6C79206665656C207468617468652061726368697465637420697320736F2064756D623F"].pack("H*")'
Do you really feel thathe architect is so dumb?
tuxotron@tuxotron-laptop:~/temp/nullcon$

Muy gracioso :(. Veamos que nos dice strings:

...
Nullcon
Nullcon2
Nullcon3
Here is your Passport number to the new level
Hey Good Job doneK
I wonder if you need to fire up your brain even more to reach the new level
May be yes	
May be no#
& & & & & & & & & .
& & & &  
& & .
Uj_		
MbP?_
...

Parece que aquí gato encerrado. Descomprimamos el Passport_Number.doc:

-rwxr-xr-x 1 tuxotron tuxotron   114 2012-01-17 08:01 [1]CompObj
-rwxr-xr-x 1 tuxotron tuxotron  6420 2012-01-17 08:01 1Table
-rwxr-xr-x 1 tuxotron tuxotron  4096 2012-01-17 08:01 [5]DocumentSummaryInformation
-rwxr-xr-x 1 tuxotron tuxotron  4096 2012-01-17 08:01 [5]SummaryInformation
-rwxr-xr-x 1 tuxotron tuxotron  4096 2012-01-17 08:01 Data
-rwxr-xr-x 1 tuxotron tuxotron  4096 2012-01-17 08:01 WordDocument
-rwxr-xr-x 1 tuxotron tuxotron 16220 2012-01-17 08:01 Workbook

Después de pasarle el comando strings a cada uno de los ficheros, el cual contiene la cadena de texto que parece que nos llevará a nuestron flag es Workbook. ¿Workbook? Eso suena más a excel que a word ¿Y si abrimos el fichero con excel? (para ello tienes que renombrar el fichero a .xls, sino OpenOffice lo abre con Word Processor. Estoy usando la versión 3.2)

Después de pasar un rato mirando por todas partes. Me di cuenta, si miras en la imagen anterior en la esquina inferior izquierda, que dice que tenemos 3 sheets, pero sólo veo 1. ¿Dónde están las otras dos?

Si hacemos doble click sobre dicha esquina dónde dice “Sheet 1/3” vemos está ventana:

Vemos que tenemos tres hojas: Nullcon (esta es la que vemos), Nullcon2 y Nullcon3. Las dos últimas están ocultas.

Después de mirar un rato como poder “des-ocultar” dichas hojas, la única forma que pude conseguir ver el contenido fue, haciendo click con el botón derecho sobre Nullcon2, Drag Mode -> insert as copy (si usas la versión español, el menú será distinto, pero seguro que lo averiguas :)). Una vez hecho eso, ahora arrastramos dicha hoja a nuestra ventana principal vemos más texto que nos indica que vamos en el buen camino y si arrastramos la Nullcon3, vemos esto:

Dónde podemos ver nuestro flag (sólo el número):

Here is your Passport number to the new level 6924289

• nullcon
• ingenieria
• engineering
• ctf
• reverse
• inversa