(espero que sea el foro adecuado)
Estoy atascado en el reto de Atari de Atenea (https://atenea.ccn-cert.cni.es/challenges?category=criptografa-y-esteganografa)
Se supone que es pasar una herramienta de esteganografía y probar contraseñas para encontrar el contenido oculto pero he probado muchas contraseñas y herramientas y nada. No sé si ese es el enfoque. Viéndolo en un visor hexadecimal tampoco veo nada.
Yo estoy exactamente igual que tu.
Llevo dos días dándole vueltas y no hay manera. Estoy ahora mirando por si sale alguna cabecera conocida en el hex.
Es bueno saber que no estoy solo.
Un saludo!
Yo es que entro muy de vez en cuando. La próxima vez tengo pensado meter 5 flags aleatorios porque creo que cuando se acaban las oportunidades da la solución.
A ver si entre los dos podemos sacar algo.
Si usas TrIDNet obtienes que la imagen contiene varios archivos, 3 de tipo JPG y 2 MP3. Esta aplicación te da una orientación, no suele ser exacta.
Sabiendo eso he cogido HxD y he comprobado el contenido en hex de la imagen buscando cabeceras de JPG y MP3. De los 3 tipos de JPG solo tiene dos: la imagen y el thumbnail y de MP3 solo he encontrado una cabecera, pero cuando extraigo el archivo no consigo reproducirlo.
A alguien se le ocurre por donde puedo seguir?
Un saludo.
SPOLIER :: Buenas, no se si habeis pasado ya la primera parte o no. Pero, si analizais la imagen con "binwalk" (herramienta de linux) vereis que os dice que tiene un archivo zip, sin embargo os da el final del archivo zip, donde esta el principio? Bien pues os vais a wikipedia y buscais la lista de "magic number" que existen. Os vais a los de zip y veis que hay 3 tipos de "magic number" entre los cuales hay 2 que nos interesan: 50 4B 03 04 y 50 4B 05 06. El primero indica el principio de un archivo zip, el otro el final. Que han hecho en este reto? Cambiar el del principio por el del final. Asi que vuestro ordenador se cree que el archivo zip esta vacio o que no lo ve no se muy bien como lo interpreta. Bien, lo primero es encontrar la cabecera de ese archivo zip, podeis usar el comando `unzip -l` para ver que archivos hay en ese supuesto zip y vereis que se trata de un gif llamado "A.gif". Bien, pues con el comando "strings -t x Atari.... | grep A.gif" imprimiis donde sale este archivo, sale dos veces, y nos interesa la primera de las direcciones de memoria que nos ha dado. La de "c1468". Ahora con una herramienta como "radare2" abriis la imagen con "radare2 -w Atari..." luego escribiis "aaa" para que analice todo un poco y luego "s 0xc1468" y es o os movera a esa direccion de memoria, luego escribiir "V" (una v mayusucula) le dais al enter y os aparecera el hexadecimal del archivo. Si subiis un poquito (2 lineas) vereis que a la derecha pone "PK" bien pues le dais a la " i " para entrar en modo insercion ya que vamos a cambiar los bytes del archivos. Os moveis hasta despues del "PK" (si os fijais a la izquierda cuando paseis por encima de PK estareis pasando por encima de los numeros hexadecimales 50 4B mencionados anteriormente en lo del magic number. Bien pues una vez estias encima de 05 escribiis 03 y se cambiará, y luego os poneis encima de 06 y poneis 04. Luego le dais al ESC y luego a la q un par de veces hasta que salgais del visor hexadecimal, y para salir de radare poneis "q" y le dais al enter.
Hecho esto, podeis si lo habeis hecho bien, hacer un "unzip Atari..." y sacar a A.gif. El cual contiene un gif dentro (usad binwalk) y despues de sacar el gif que tiene dentro, ahi me he quedado atascado :3
Madre mía, acabas de hacer que me explote la cabeza. Es una dirección completamente opuesta a lo que yo había estado haciendo.
Gracias! si evoluciono a partir de lo que has hecho lo comento.
He realizado todos los pasos que has descrito y estoy en el mismo punto que tu. Lo único que puedo decir es que el juego del GIF es TEMPEST. Para la Atari 2600 era un prototipo con gráficos bastante malos, la versión del GIF no es la de la Atari 2600.
He sacado las cabeceras de los frames del GIF para ver si había alguna oculta con los bytes de tiempo a 00, pero nada.
Algún avance? Por que estoy super pillado, he probado a aislar los bytes iguales por un lado y no iguales por el otro e intentar ver si podia hacer algo con ellos. Tipo crear un gif con los bytes iguales o algo asi. Pero no, nada de nada.
En la última imagen si la aclaráis veréis unos píxeles sospechosos diría yo. Pero no he conseguido extraer nada.
Hola! Estoy atascado en el mismo punto que comentáis. Alguien consiguió sacar algo más de información?
Saludos!
Hola,
Si estáis en la imagen GIF sin movimiento, necesitareis una herramienta muy conocida de Stego para extraer "algo".
Un saludo.
Alguien ha avanzado? me he bajado un programa para hacer stego a gifs llamado stegoveritas y tras ver todos los archivos extraidos no saco nada