epic mount

Posted by glfms on January 16, 2019

You may find interesting:


BSides SF 2019 CTF - bWF0cnlvc2hrYQ==


Web

35C3 CTF - Junior

Nome: epic mount

Descrição:

A little bit of stego. Not every header field looks like the other.

ffbde7acedff79aa36f0f5518aad92d3-rare-fs.bin

Solução:

Ao inspecionar o binário, descobrimos que, assim como no desafio rare mount, se trata de um JFFS2 filesystem.

Tentei rodar a tool jefferson para extrair os arquivos do binário. Com isso, o mesmo vídeo obtido no challenge anterior foi obtido. Entretanto, nenhum arquivo contendo a flag apareceu e o seguinte erro foi reportado diversas vezes: hdr_crc does not match!

jefferson f9be7cb88a778615216f212d58f62ea3-epic-fs.bin -d outdir

Como a tool não ajudou muito dessa vez, eu resolvi seguir a parte da descrição que falava sobre stego e buscar por alguma mensagem ou arquivo esteganografado. Confesso que, com isso, gastei algumas horas em pesquisas e tentativas frustrantes de extrair a flag do vídeo encontrado, mas, obviamente, sem sucesso. Após conversar com outro integrante do time, decidimos comparar esse binário com o do challenge anterior, com finalidade de encontrar as diferenças e corrigir os erros reportados. Visto que, parecia se tratar do mesmo arquivo, porém corrompido.
Pesquisando por algum utilitário que comparasse os dois arquivos byte a byte, eu encontrei o cmp.

Comparando as diferenças entre os arquivos, obtemos a flag:

cmp -b -l f9be7cb88a778615216f212d58f62ea3-epic-fs.bin ffbde7acedff79aa36f0f5518aad92d3-rare-fs.bin

¯\_(ツ)_/¯

Achei esse challenge bem interessante, pois foi a primeira vez que encontrei estaganografia em algum arquivo que não fosse mídia.

FLAG: 35C3_hide_me_baby_one_more_time