Retos (CTF) - Cyber.co 2020 - Comando Conjunto Cibernético - Parte 4

Continuamos con la cuarta entrega de los retos CTF propuesto por el Comando Conjunto Cibernético, si no has visto la tercera entrega haga clic aquí.

Parte 4

 
RETO # 17 - Un problema muy majo

Descripción del Reto: Hemos interceptado un documeto .docm y según dicen nuestros expertos hay un mensaje oculto, pero desafortunadamente no hemos podido encontrar nada, quizás tu tengas más suerte.

Nivel de dificultad: Fácil

Puntos asignados: 50

Formato de banderaQMISSION{FLAG}

Archivo adjunto del reto: Documento.docm

 

SOLUCIONARIO:

El reto consiste en encontrar la flag que se esconde un documento .docm, este es un formato de documento que indica que tiene los Macros incrustados, lo que significa que viene con ciertas características programadas para automatizar tareas, para el reto se nos da:

Documento.docm

Lo primero que tenemos que hacer es abrir el archivo, el cual es posible abrir mediante Word.

Cuando ya está abierto notifica que los macros de Word del ordenador en donde se está ejecutando no tienen esta característica habilitada, en caso de no aparecer esta advertencia significa que el ordenador si los tiene habilitados, para resolver el reto se necesita más información sobre los macros que tiene el reto, para ello se va a la pestaña de Vista, Macros y ver macros.


Cuando se inspecciona esta pestaña aparecen todos los macros que tenga habilitado el sistema y los que tenga el archivo.


Dentro de los macros basta con una simple inspección para notar un macro que se llama “Flag” con la descripción “Quizás aquí esté la flag... quien sabe”  a lo que se procede a ejecutar el macro.


Pero el macro no hace nada, entonces se recurre a inspeccionar el contenido del macro en la opción modificar macro.


En esta opción permite ver el mismo escrito que está en el texto,con unas leves diferencias.


Se ve que hay unos fragmentos que están codificados en diferentes bases y se procede a decodificarlos

01010001 01001101 01001001 01010011 (Binario)
123 111 117 116 (Octal)
7B6D3463723073 (Hexadecimal)
L53TA4TEPU====== (Base32)

Decodificación 

01010001 01001101 01001001 01010011 = QMIS


123 111 117 116 = SION

 Flag: QMISSION{m4cr0s_w0rd}



RETO # 18 - ¿y la clave?

Descripción del Reto:Durante un hallazgo encontramos un archivo desconocido, algunos expertos en la materia aseguran que este archivo tiene protección con contraseña, obviamente no sabemos cual es la clave, lo que si sabemos es que usaron una contraseña muy común a nivel mundial.

Nivel de dificultad: Fácil

Puntos asignados: 200

Formato de banderaQMISSION{FLAG}

Archivo adjunto del reto: File

SOLUCIONARIO:

Para resolver el reto primero se debe identificar qué tipo de archivo es y para ello se usa la herramienta HxD


Con esta herramienta se puede analizar las cabeceras del archivo e identificar que es un .rar y cuando se intenta extraer el contenido pide una contraseña, la cual no se tiene, pero en la descripción del reto explica que la contraseña es una muy usada, entonces se requiere hacer un ataque de diccionario, para ello se usa la herramienta John the ripper.