HACKINBO Mobile CTF 2018

Per l’undicesimo anno consecutivo si è svolto HACKINBO, il primo evento totalmente gratuito sulla Sicurezza Informatica nella città di Bologna. Gli organizzatori hanno messo a disposizione un CTF da svolgersi via smartphone, senza l’utilizzo di particolari software o computer.

Il Capture The Flag

Per il Capture The Flag di quest’anno gli organizzatori hanno messo a disposizione un server apposito, reperibile a questo indirizzo http://hackinbo.itserver.me/.

Nella pagina è visibile solo l’immagine della pianta di una nave e alcuni pulsanti.

00 - Boat Map

Il click sui pulsanti non genera nessuna reazione. Infatti da una ispezione al sorgente della pagina risulta che gli href non siano impostati (href=”#“).

Ci si trova però una stringa molto lunga, nascosta come commento all’interno del sorgente.

01_a

La stringa:

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

è sicuramente codificata, e va indagata.

Decodificata in base64 sul sito https://www.base64decode.org/ :

Hello,
welcome to HackInBo's mobile CTF!
Regulations:

  1. Do not use any automatic tools, it will not be useful;
  2. Use a mobile device;
  3. Do not carry out attacks by brute force or dictionary;
  4. If you complete the CTF it is essential to indicate your real data (name, surname, email).
  5. Have fun and keep others entertained! Do not be a lamer ;)

==

Ready?

Go to: xwords.php

Quindi proviamo l’indirizzo http://hackinbo.itserver.me/xwords.php

02-a

Pagina apparentemente vuota. Ma diamo un’occhiata al sorgente.

02

L’asset images/xwords.png non viene caricato. Allora proviamo a caricarlo separatamente con https://hackinbo.itserver.me/images/xwords.png e il risultato è questo:

04 - xwords

La soluzione della definizione nascosta ci porterà al prossimo passaggio.

04 - xwords-FATTO

Alderson, e la definizione è MR Robot. Anche se durante non nascondo che durante lo svolgimento il primo pensiero è stato Alderaan, del mondo di Star Wars. Ma sarebbe stato in una galassia lontana lontana dal tema generale delle parole crociate, del CTF e dell’evento più in generale…

Ora proviamo il link http://hackinbo.itserver.me/alderson.php. Appare solo un sudoku, ma senza nessuna indicazione.

05 - sudoku9x9

Diamo un’occhiata al sorgente:

05 - sudoku9x9-sourcecode

Svolgiamo il sudoku su https://solvemysudoku.com/ e collezioniamo una serie di numeri:

05 - sudoku9x9_solved

I numeri che ci servono sono 978912. 

Andiamo al link http://hackinbo.itserver.me/978912.php:

06 - 978912

Nessuna indicazione sulla pagina. Ma nel sorgente:

06 - 978912_sourcecode

“Il numero di gradini di una scala è tale che salendo i gradini a 2 a 2 rimane un gradino, salendo i gradini a 3 a 3 rimane un gradino, salendo i gradini a 4 a 4 rimane un gradino, salendo i gradini a 5 a 5 rimane un gradino. Da quanti gradini è fatta la scala?

(Il numero più basso e scritto in lettere)”

Tra 2, 3, 4 e 5 cerco il minimo comune multiplo che è 3 x 4 x 5 = 3 x 22 x 5 = 60 (scompongo in fattori primi e prendo tutti i fattori, comuni e non comuni, con esponente più grande). Anche i multipli di 60 potrebbero soddisfare la richiesta, ma poichè viene espressamente indicato di utilizzare il più piccolo, prendo 60. E siccome avanza sempre un gradino, il numero richiesto è 61 (sixtyone).

Andiamo su http://hackinbo.itserver.me/sixtyone.php:

07 - sixtyone

Appare solo questo. Quindi diamo un’occhiata al sorgente:

07 - sixtyone_sourcecode

I tool online per la steganografia non mostrano nulla di nascosto nell’immagine. Quindi mi focalizzo sul nome del file: steganographyjs.png. Cerco online solo il nome, e scopro che è possibile nascondere dati in una immagine con Javascript, come immaginavo. Uso il sito https://www.peter-eigenschink.at/projects/steganographyjs/showcase/ e scopro che nell’immagine è stato criptato un codice:

07 - sixtyone_decoded

Il messaggio dice: Next step is: U6GAAFuyxwVVgX“.

Usiamo questo codice per il prossimo step: http://hackinbo.itserver.me/U6GAAFuyxwVVgX.php

08 - almost_Done

E qui finisce il CTF Mobile 2018 di HACKINBO.

Ringrazio lo staff di HACKINBO per aver concesso la possibilità di pubblicare il writeup del CTF.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.