Misja Gynvaela 010

krzaq Leave a comment 
MISJA 010            goo.gl/oAdvWe                  DIFFICULTY: ███░░░░░░░ [3/10]
┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅

Otrzymaliśmy dokument PDF w którym podobno jest zaszyta ukryta wiadomość.
Zwracamy się do Ciebie z prośbą o jej odnalezienie:

  https://goo.gl/wgt94W

Powodzenia!

--

Odzyskaną wiadomość umieść w komentarzu pod tym video :)
Linki do kodu/wpisów na blogu/etc z opisem rozwiązania są również mile widziane!

P.S. Rozwiązanie zadania przedstawię na początku kolejnego livestreama.
P.S. Pomysłodawcą misji jest foxtrot_charlie.

Misja dość prosta, chociaż zajęła mi znacznie więcej czasu niż powinna. No cóż.

Na początek, ściągnijmy plik:

> wget 'https://goo.gl/wgt94W'
--2017-09-08 00:30:16--  https://goo.gl/wgt94W
Loaded CA certificate '/etc/ssl/certs/ca-certificates.crt'
Resolving goo.gl... 216.58.206.14, 2a00:1450:4001:821::200e
Connecting to goo.gl|216.58.206.14|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://gynvael.vexillium.org/ext/2793d59379a304c4893fd0bff37ffba352d34b51_misja010_dokument.pdf [following]
--2017-09-08 00:30:17--  http://gynvael.vexillium.org/ext/2793d59379a304c4893fd0bff37ffba352d34b51_misja010_dokument.pdf
Resolving gynvael.vexillium.org... 64.111.126.171
Connecting to gynvael.vexillium.org|64.111.126.171|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 18312 (18K) [application/pdf]
Saving to: ‘wgt94W’
 
wgt94W                                              100%[===================================================================================================================>]  17.88K  --.-KB/s    in 0.1s
 
2017-09-08 00:30:17 (154 KB/s) - ‘wgt94W’ saved [18312/18312]

Po rozszerzeniu można domyślić się, że jest to plik PDF, ale dla pewności:

> file wgt94W
wgt94W: PDF document, version 1.5

Otwarcie pliku w pdf readerze pokazuje wyłącznie dwie linie zawierające po trzy znaki zapytania każda:

PDFPDF

Być może dokonano cenzury metodą New York Timesa? Niestety, po zaimportowaniu do programu Inkscape widać tylko jedną warstwę:

InkscapeInkscape

Może znaki zapytania to zakodowana czcionka, a faktyczna treść jest inna?

> pdfgrep . wgt94W
???
 
???

Nope. W takim razie może należy przejści do eksportu do SVG za pomocą pdfsvg?

> pdf2svg wgt94W out.svg

Niestety wynikowy plik SVG (dla każdej ze stron) nie zawierał nic interesującego.

W takim razie może sprawdźmy czy binwalk sobie poradzi?

> binwalk wgt94W
 
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PDF document, version: "1.5"
491           0x1EB           Zlib compressed data, default compression
753           0x2F1           Zlib compressed data, default compression
1237          0x4D5           JPEG image data, JFIF standard 1.01
4214          0x1076          Zlib compressed data, default compression
4578          0x11E2          Zlib compressed data, default compression
16503         0x4077          Zlib compressed data, default compression
16834         0x41C2          Zlib compressed data, default compression
17535         0x447F          Zlib compressed data, default compression
17892         0x45E4          Zlib compressed data, default compression
18222         0x472E          Zlib compressed data, default compression

Oho, JPEG, a żadnego obrazka nie widać! Wyeksportujmy:

> binwalk -e wgt94W
 
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PDF document, version: "1.5"
491           0x1EB           Zlib compressed data, default compression
753           0x2F1           Zlib compressed data, default compression
1237          0x4D5           JPEG image data, JFIF standard 1.01
4214          0x1076          Zlib compressed data, default compression
4578          0x11E2          Zlib compressed data, default compression
16503         0x4077          Zlib compressed data, default compression
16834         0x41C2          Zlib compressed data, default compression
17535         0x447F          Zlib compressed data, default compression
17892         0x45E4          Zlib compressed data, default compression
18222         0x472E          Zlib compressed data, default compression

Ciekawostką okazał się fakt, że wyeksportowane zostały wszystkie elementy… poza tym, którego chciałem.

Wtf, binwalk?Wtf, binwalk?

Szybka lektura helpa i lecimy z poprawioną komendą:

> binwalk -D 'jpeg:jpeg'  wgt94W
 
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PDF document, version: "1.5"
491           0x1EB           Zlib compressed data, default compression
753           0x2F1           Zlib compressed data, default compression
1237          0x4D5           JPEG image data, JFIF standard 1.01
4214          0x1076          Zlib compressed data, default compression
4578          0x11E2          Zlib compressed data, default compression
16503         0x4077          Zlib compressed data, default compression
16834         0x41C2          Zlib compressed data, default compression
17535         0x447F          Zlib compressed data, default compression
17892         0x45E4          Zlib compressed data, default compression
18222         0x472E          Zlib compressed data, default compression

I tym razem się udało:

> ls _wgt94W.extracted|grep jpeg
4D5.jpeg
4D5.jpeg4D5.jpeg

Yeah!

Leave a Reply

Your email address will not be published.