Nuit du Hack 2013 Quals ‚Äď huge.js

Nuit du Hack 2013 - huge.js - task website

Beim Aufruf der Webseite der “huge.js” – Challenge erschien nach unwesentlicher aber bemerkbarer Wartezeit dieses Bild mit einer eingeblendeten Inputbox. Der Quellcode erstaunlich einfach gestrickt:

<body>
  <div id="panel">
  </div>
  <script src="huge.js" language="javascript"></script>
</body>

Klarer Fall, erstmal die Ressource huge.js runterladen … erster Schock – 25 MB komprimiertes Javascript ūüôā Na danke!

Nuit du Hack 2013 - huge.js - obfuscated javascript code

Dateianalyse via “SharpEye-Methode” ergab, dass es sich um ein paar wenige Byte JS-Code, dann 99,9999% Hexkrams und ein paar schlie√üende Klammern am Ende der Datei handelte.
Continue reading

Nuit du Hack 2012 Quals ‚Äď
Strange binary file #2

Nuit du Hack 2012 - Strange binary file #2 - task description

Kaum haben wir die vorherige Challenge gel√∂st, meldet sich Jessica erneut mit einem Auftrag (Strange binary file #2). Sie sendet unter anderem eine weitere Bin√§rdatei, √ľber die sie Informationen verlangt. Da wir aus der Challenge “Strange binary file” nun bereits wissen, wie mit diesen .NDH-Dateien umzugehen ist, machen wir uns direkt ans Werk.

Bei der ersten Debug-Ausf√ľhrung mit Eingabe eines beliebigen Passwortes f√§llt bereits auf, dass mehrfach folgende √úberpr√ľfung statt findet.

rup0rt@lambda:~/strange_binary_file_2$ ./vmndh -file executable2.ndh -debug
[Console]#> run
[...]
0x8538 > cmpb r0, #11
0x853c > jnz 0x03
0x8542 > cmpb r0, #1
0x8546 > jnz 0x07
0x8550 > cmpb r0, #2
0x8554 > jnz 0x07
0x855e > cmpb r0, #3
0x8562 > jnz 0x07
0x856c > cmpb r0, #4
0x8570 > jnz 0x07
0x857a > cmpb r0, #5
0x857e > jnz 0x07
0x8588 > cmpb r0, #6
0x858c > jnz 0x07
0x8596 > cmpb r0, #7
0x859a > jnz 0x07
0x85a4 > cmpb r0, #8
0x85a8 > jnz 0x07
0x85b2 > cmpb r0, #9
0x85b6 > jnz 0x07
[...]

Folgt man den einzelnen Sprungmarken, stellt man fest, dass hinter jeder Zahl verschiedene Anweisungen stecken, die das Kopieren von Daten, das Verschieben, Shiften oder anderweitige Manipulationen durchf√ľhren.
Continue reading

Nuit du Hack 2012 Quals ‚Äď
Strange binary file

Nuit du Hack 2012 - Strange binary file - task description

Zeitgleich mit dem Dank die Challenge “Unknown zip archive” beendet zu haben, hat Jessica schon den n√§chsten Auftrag (Strange binary file) f√ľr uns. Diesmal geht es um eine merkw√ľrdige Bin√§rdatei, die uns als m√∂glicherweise ausf√ľhrbar, jedoch nicht als ELF-Datei, beschrieben wird.

Wir sehen uns als zuerst einmal den Inhalt der Datei etwas genauer an.

rup0rt@lambda:~/strange_binary_file$ xxd executable1.ndh
0000000: 2e4e 4448 8e04 1bdf 0301 0301 0103 0204  .NDH............
0000010: 0201 0000 0402 0200 0004 0a01 0017 0101  ................
[...]
00003e0: f8fe 1c0e 0000 001a 0402 0015 8419 04cf  ................
00003f0: fe07 0108 2004 0002 0804 0101 0004 0103  .... ...........
0000400: 1f04 0100 0330 0400 0002 1904 e0fe 1904  .....0..........
0000410: d2fe 1c02 0503 0708 0601 0953 6369 7465  ...........Scite
0000420: 656b 2070 726f 7465 6374 6564 2073 746f  ek protected sto
0000430: 7261 6765 2023 310a 456e 7465 7220 796f  rage #1.Enter yo
0000440: 7572 2070 6173 7377 6f72 643a 2000 7363  ur password: .sc
0000450: 6974 6565 6b2e 6e75 6974 6475 6861 636b  iteek.nuitduhack
0000460: 2e63 6f6d 3a34 3030 3100 6d79 787a 4a61  .com:4001.myxzJa
0000470: 4b45 2e74 7874 0047 6f6f 6420 7061 7373  KE.txt.Good pass
0000480: 776f 7264 0a00 4261 6420 7061 7373 776f  word..Bad passwo
0000490: 7264 0a00                                rd..

Was besonders auff√§llt, ist der Anfang, der mit den Buchstaben “NDH” beginnt und die an dieser Stelle h√∂chst wahrscheinlich der “Nuit du Hack” zuzuordnen sind. Wir erinnern uns, dass ELF-Dateien √§hnlich beginnen, indem bei diesen auch der Dateityp -“ELF”- am Anfang der Datei zu finden ist.
Continue reading

Nuit du Hack 2012 Quals –
Unknown zip archive

Nuit du Hack 2012 - Unknown zip archive - task description

In der Email von Jessica erhalten wir als weitere Challenge (Unknown zip archive) die Information, dass zus√§tzlich ein passwortgesch√ľtztes Zip-Archive gefunden und bisher nicht entpackt werden konnte. Hierbei handelt es sich um eine RAR-Datei, bei der wir nun selbst versuchen werden, dass Passwort zu cracken und somit an den Inhalt zu gelangen.

rup0rt@lambda:~/privDatas$ ls -lh sp112.rar
-rw-r--r-- 1 rup0rt rup0rt 26K Mar 16 15:33 sp112.rar

rup0rt@lambda:~/privDatas$ file sp112.rar
sp112.rar: RAR archive data, vca,

rup0rt@lambda:~/privDatas$ unrar x sp112.rar
UNRAR 3.93 freeware      Copyright (c) 1993-2010 Alexander Roshal

Enter password (will not be echoed) for sp112.rar: 

Encrypted file:  CRC failed in sp112.rar (password incorrect ?)
No files to extract

Eine kurze Untersuchung der Datei ergibt nichts Auff√§lliges und best√§tigt vielmehr die uns genannten Informationen, dass es sich tats√§chlich um eine “normale” RAR-Datei handelt, die mit einem Passwort gesch√ľtzt ist. Welche M√∂glichkeiten haben nur nun, dieses Archiv anzugreifen?
Continue reading

Nuit du Hack 2012 Quals –
Unknown text

Nuit du Hack 2012 - Unknown text - task description

Zu Beginn dieser Challenge (Unknown text) erhalten wir eine Email von Jessica, die uns mitteilt, dass sie einen unverst√§ndlichen -m√∂glicherweise verschl√ľsselten- Text erhalten hat und beauftragt uns damit, weitere Informationen aus diesem Text zu gewinnen und im besten Fall zu entschl√ľsseln.

Ein ersten Blick auf den Text lässt uns sofort folgendes feststellen:
Рbei den Buchstaben des Textes handelt es sich ausschließlich um Kleinbuchstaben
– die Verteilung der Leerzeichen zeigt, dass nur die Buchstaben verschl√ľsselt wurden
– die Sonderzeichen im unteren Teil lassen einen Quellcode (Assembler?) vermuten

Mein erster Gedanken bei solchen Texten geht immer in Richtung Caesar-Verschl√ľsselung und obwohl W√∂rter wie “nrnvlqqq” schon vermuten lassen, dass es sich nicht um Caesar handelt (da sonst wieder ein Wort mit drei gleichen Buchstaben am Ende entstehen w√ľrde) probieren wir es dennoch aus.
Continue reading