Blog

Soluciones CSAW CTF – Forensic: Obscurity

Buenas a todos! En este post y siguiente vamos a ver algunas soluciones a los retos planteados en el CTF CSAW que se celebró este fin de semana. Las soluciones son personales, por lo que habrá muchas más formas de solucionarlos.

En el post de hoy tenemos uno de los retos que se encontraban dentro de la parte “Forensic”, el reto es “Obscurity” y tenía un valor de 200 puntos (Nivel Intermedio).

La única pista que nos daban era “see or do not see”, junto a un PDF como podemos ver en la imagen a continuación:

question_csawobscurity

 

El PDF, que os dejo aquí para todos aquellos que queráis probar el reto aunque sea de forma offline, contenía únicamente una imagen como podemos ver a continuación:

foto_pdf

 

Lo primero que podemos hacer para obtener información sobre el PDF es hacer uso de ciertas herramientas como:

– pdfid –> Nos permite obtener información interna sobre el PDF, los objetos que tiene, etc.

csaw_pdf_01
– peepdf: Similar a pdfid, donde podemos observar la cantidad de objetos y stream que contiene el PDF, si está cifrado, etc.

csaw_pdf_02

 

– pdf-parser: Nos permite obtener todos los datos del PDF, es decir, nos mostrara los objetos con sus características, streams, etc. Aquí no pongo foto debido a la cantidad de datos que nos genera.

De todas estas herramientas, las que nos permiten obtener información importante sobre que estamos buscando y que tenemos son las primeras, comprobando que no era un PDF cifrado, la cantidad de objetos, cantidad de streams, etc.

Tras buscar directamente en el código era posible ver que la imagen principal (La que tenía un stream mayor, concretamente el obj.9) se encontraba justo encima de otra de iguales dimensiones y posición. Al principio estuve intentando extraer la imagen que se encontraba debajo, tras un rato, decidí cambiar de idea y eliminar del código del PDF la imagen principal, de tal forma que quedara a la vista la segunda. Esto funciono y al abrir el PDF modificado nos encontrábamos la flag que debíamos introducir para obtener los puntos 😉

csaw_pdf_03

 

La flag como podéis ver era “security_through_obscurity”. Durante los siguientes post iremos viendo algunos retos que me parecieron interesantes y curiosos! Espero que os haya gustado.

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

Leave a Reply

*

    No Twitter Messages