WriteUp Forensics100-CTF Quals DefCon

Hace unas semanas terminó el CTF de DefCon. Jamas habia participado en un CTF DefCon y la verdad esque fue bastante dificil. @paco_ y @r0bertmart1nez de hacking.mx me invitaron a su equipo y estuve jugando ahi, asi que lo muy poco que avanzamos es completamente para el equipo #kame0. Pero como me es costumbre siempre ando en el irc de RICteam con lo parceros que son los mejores =) unos Duros, divertidos (sobre todo usted @Phicardo)

Bueno al writeup, intentaré ser los mas breve. Yo pasé el Forensics100 de una manera tal vez no muy élite o limpia, pero fue rápido y funcional.

Nos proveen de esta imagen png. Una imagen bastante curiosa de 19025*1 pixeles:

Existe un patrón que parecía ser cada 450 pixeles con un pixel azul. Asi que siendo la imagen de esas dimensiones todo indicaba cortar esa imagen cada 450 pixeles y armar una imagen nueva poniendo cada imagen debajo de la otra.

Para cortarla y no complicarme decidi usar imagemagick con su programa convert con crop.Para cortar con crop se hace de la siguiente manera:

1
$convert -crop WxH+x+y image output

Donde W es el anchoH el alto de la imagen que se va a cortar. +x es la coordenada positiva desde donde se cortara en eje X+y es lo mismo pero para el eje Y.

Esto lo tenemos que hacer varias veces hasta alcanzar el final de la imagen. Pero para esto hice uso de recursividad en Bash, como ya habia mostrado antes

1
$for ((i=0;i<=19025;i+=450));do convert -crop 450x1+$i+0 forensics100.png out$i.png;done

Aqui lo unico que hago es aplicar el comando y el for lo uso para recorrer la posicion de la coordenada “X” e ir cortando cada 450 pixeles y doy salida a nuevos archivos. Al final Obtuve 43 imagenes.

Aqui ya solo lo que hice fue con gimp cargar las imagenes como capas y acomodarlas una por una debajo de otra:

Y despues de tantito trabajo. Obtenemos esta imagen:

Ahi se pueden leer dos cosas: arriba se ve algo como “i love Me to me….”

Aunque la verdadera flag era: thankYouSirPleasemayIhaveAnother

P.D. (Tenia un error en una mayuscula que no distinguia y en esa parte me ayudo el parcero “monje” Gracias mi amigo)

Atte. hecky

hecky@neobits.org

Sígueme en twitter: http://twitter.com/hecky