Alternating
Catégorie: Forensic Difficulté: Facile Flag: ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}
Challenge
Description
We have hidden something in the file and I'm sure you won't find it. Make sure to extract the archive using WinRar. Windows is your friend.
Solution
On peut utiliser WinRAR pour lister les fichiers présents dans l'archive
>unrar vta Flag.rar
UNRAR 7.00 x64 Freeware Copyright (c) 1993-2024 Alexander Roshal
Archive: Flag.rar
Détails: RAR 5
Nom: Flag.txt.txt
Type: Fichier
Taille: 0
Taille compressée: 0
Taux: 0%
Modifié: 2024-02-27 12:46:19,640340000
Attributs: ..A....
CRC32: 00000000
Système d'exploitation hôte: Windows
Compression: RAR 5.0(v50) -m0 -md=128k
Nom: STM
Type: Flux de données de remplacement NTFS
Cible: :real_flag.txt
Taille: 74
Taille compressée: 75
Taux: 101%
Attributs: .B
CRC32: 1C0A72C4
Système d'exploitation hôte: Windows
Compression: RAR 5.0(v50) -m3 -md=128k
Service: EOFOn voit 2 fichiers, l'un est classique mais vide, l'autre est un flux de données associé au premier. C'est ce qu'on appelle les ADS (Alternate Data Streams) et c'est une façon pour Windows d'ajouter des informations liées à un fichier dans une autre zone pour ne pas modifier son contenu.
Il est possible de voir ça, après une extraction classique, avec la commande
> dir /R
30/09/2024 10:49 <DIR> .
30/09/2024 10:14 <DIR> ..
30/09/2024 10:16 194 Flag.rar
614 Flag.rar:Zone.Identifier:$DATA
27/02/2024 13:46 0 Flag.txt.txt
74 Flag.txt.txt:real_flag.txt:$DATA
2 fichier(s) 194 octets
2 Rép(s) 329 748 451 328 octets libresPour afficher ce flux alternatif, on peut passer par PowerShell
PS > Get-Content .\Flag.txt.txt -Stream real_flag.txt
"ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}"Dernière mise à jour
Cet article vous a-t-il été utile ?