A eso de las 20 horas del día de ayer viernes 17 de Agosto, los chicos de la 8.8 Computer Security Conference edición de Bolivia, lanzaron el primer reto de tipo CTF (Capture The Flag) en conmemoración a la nueva edición que se viene este año 2018 y que lleva por título Infinity. Ya en una próxima entrada haremos la invitación a todos los lectores de este blog y por supuesto daremos la agenda del evento, de momento vayan reservando en sus agenda los días 14 y 15 de Septiembre.

El motivo de esta líneas es el poder exponer mi experiencia con el reto que publicó la organización en su página de Facebook y que lo hicieron a modo de compartir con la comunidad y ponernos a prueba, bajo el motivante “galardón” de hacerse con una entrada para el evento. Esta era la publicación que se hacía:

Siendo franco, es de las primeras veces que decido participar en este tipo de retos abiertos de “demostración de habilidades”, ya que normalmente o no tengo el tiempo suficiente para ponerme al 100% con ellos o ya directamente me pilla fuera de tiempo, en cualquier caso puesto que de este me enteré con margen suficiente, fue la madrugada del Sábado 18 que me puse a ello un rato entre que me entraba el sueño. Aquella noche no completé el reto en su totalidad, digamos hice la mitad del recorrido hasta conseguir la bandera (flag), pero no fue hasta que me puse ya el sábado un rato por la tarde que conseguí lo que la organización pretendía que consigamos los participantes.

A continuación dejo descrito todo lo que se me ocurrió hacer hasta llegar al propósito.

Lo primero fue verificar la URL que compartieron, en este caso una con el acortador Bitly, esto lo hice a través de curl y su opción -I.

Nos quedamos por ahora con la URL mostrada en el Location.

Ahora recurro a wget para descargar la imagen mostrada.

Con la herramienta ExifTool de Phil Harvey me dispongo a revisar los metadatos de la imagen descargada, ya que probablemente llegue a información interesante.

Curioso es el texto mostrado en el campo “Document Name”, que pone “Flag_not_here”. Sin embargo es harto atractivo el hash del campo “Software”.

Apoyándome en el portal base64encode.org, decido pasar el hash por el decodificador y obtengo una nueva URL, está vez se trata de un fichero comprimido.

Nuevamente con wget descargo el fichero.

Inmediatamente después de descargado el fichero comprimido ZIP, intento extraer su contenido, sin embargo no me es posible ya que me demanda una contraseña. La tarea aquí no se tornaba fácil.

Varios fueron mis intentos por llegar a la contraseña adecuada para descomprimir el fichero. Desde el uso de contraseñas por defecto, a contraseñas fáciles, contraseñas deducibles (guessing), e incluso se me ocurrió emplear todos los textos (hashes incluidos) identificados en los metadatos de los ficheros comprobados. Pero fue en vano el esfuerzo hasta aquí.

Revisando la URL anterior (8dot8.org.bo/Retos/Rockyou/8dot8.zip), veo una pista en su estructura, concretamente el directorio “Rockyou”, rápidamente me acuerdo del famoso diccionario con este mismo nombre y que tiene al menos unas 14.344.392 palabras.

Empleando la herramienta fcrackzip le lanzo fuerza bruta al fichero ZIP e inmediatamente descubro que la contraseña, que por cierto, finalmente no esta muy compleja.

Ahora ya si consigo acceder al contenido del fichero ZIP.

Al ver un fichero WAV, decido levantarlo con VLC, sin embargo el ruido que escucho por los auriculares me indican que debo emplear algún tipo de decodificador de código morse.

Para ello llego al portal: morsecode.scphillips.com, en donde su función “Morse Code Audio Decoder” básicamente me facilita la labor y me deja subir el fichero obtenido.

Finalmente en el apartado de espectrograma logro visualizar el siguiente resultado:

Con esto ya tengo lo que parece ser el Flag (bandera) del reto y me dispongo a mandar un correo a la organización de la 8.8 y dejarles un comentario en el Facebook como se indica en las instrucciones.

Todavía no he tenido respuesta por parte de la organización (hasta el momento de escribir esta entrada), sin embargo yo espero que haya tenido suerte. Ha sido un reto muy entretenido, esperamos con ansias los próximos.