Where is my Pony? NullByte Eternal Games Writeup от @Max_RSC

Без лишних предисловий перейдем к делу.

Нам дали какой-то flashdrive. На всякий случай сделаем strings: вдруг флаг лежит в открытом виде?

strings flashdrive | grep -i X0G4M3

# Вывод:

X0G4M3{Th1s_1S_N0t_MY_B3l0v3D_P0nY}

Фейк! Почему я не удивлен :D

Кидаем в file, чтобы понять, что представляет собой этот файл:

file flashdrive

# Вывод: 
flashdrive: DOS/MBR boot sector, code offset 0x58+2, OEM-ID "mkfs.fat", sectors/cluster 8, Media descriptor 0xf8, sectors/track 32, heads 64, hidden sectors 26116096, sectors 4192256 (volumes > 32 MB), FAT (32 bit), sectors/FAT 4088, reserved 0x1, serial number 0xd873f71c, unlabeled

Окей, это образ флешки. FAT32, куча секторов, скрытых разделов — в общем, все как обычно: у @CyberFazaN легко не бывает.

Чтобы посмотреть, что на флешке, воспользуемся утилиткой fls из пакета sleuthkit:

fls -r -f fat32 -o 0 flashdrive

# Вывод:

DO_NOT_OPEN/ # ну конечно, сразу хочется туда залезть!

MyBelovedVideo.mp4 # подозрительно милое название...

wallpaper.png # вряд ли это интересно

.hidden # о, папочка с секретиками!

.NotThat.jpg # классика: "это не то, что ты ищешь" (скорее всего, как раз именно то)

______~1.PNG # похоже на битую картинку

LOOOOOOOVEEEEEEEE.txt # это явно не просто текстовик...

Берем icat из пакета sleuthkit и начинаем вытаскивать все подряд:

icat -o 0 flashdrive 135 > MyBelovedVideo.mp4

icat -o 0 flashdrive 6 > wallpaper.png

# и так далее...

Файл LOOOOOOOVEEEEEEEE.txt выглядит как текстовый, но...

file LOOOOOOOVEEEEEEEE.txt

# Вывод:

LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.txt: JPEG image data, JFIF standard 1.01, resolution (DPI), density 96x96, segment length 16, comment: "Nice", progressive, precision 8, 720x850, components 3

Оказывается, это JPEG. Переименовываем:

mv LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.txt LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.jpg

Открываем картинку:

eog LOOOOOOOOOOOOOOOVEEEEEEEEEEEEEE.jpg

Видим флаг.

Ссылка на задание

#forensics #NullByte #NBGames #writeup