Alternating

Précédenti-got-a-virus Suivantcall-me-pliz

Dernière mise à jour il y a 7 mois

Cet article vous a-t-il été utile ?

Alternating

Catégorie: Forensic Difficulté: Facile Flag: ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}

Challenge

Description

We have hidden something in the file and I'm sure you won't find it. Make sure to extract the archive using WinRar. Windows is your friend.

Solution

On peut utiliser WinRAR pour lister les fichiers présents dans l'archive

>unrar vta Flag.rar

UNRAR 7.00 x64 Freeware      Copyright (c) 1993-2024 Alexander Roshal

Archive: Flag.rar
Détails: RAR 5

         Nom: Flag.txt.txt
        Type: Fichier
      Taille: 0
Taille compressée: 0
        Taux: 0%
     Modifié: 2024-02-27 12:46:19,640340000
   Attributs: ..A....
       CRC32: 00000000
Système d'exploitation hôte: Windows
 Compression: RAR 5.0(v50) -m0 -md=128k

         Nom: STM
        Type: Flux de données de remplacement NTFS
       Cible: :real_flag.txt
      Taille: 74
Taille compressée: 75
        Taux: 101%
   Attributs: .B
       CRC32: 1C0A72C4
Système d'exploitation hôte: Windows
 Compression: RAR 5.0(v50) -m3 -md=128k

     Service: EOF

On voit 2 fichiers, l'un est classique mais vide, l'autre est un flux de données associé au premier. C'est ce qu'on appelle les ADS (Alternate Data Streams) et c'est une façon pour Windows d'ajouter des informations liées à un fichier dans une autre zone pour ne pas modifier son contenu.

Il est possible de voir ça, après une extraction classique, avec la commande

> dir /R

30/09/2024  10:49    <DIR>          .
30/09/2024  10:14    <DIR>          ..
30/09/2024  10:16               194 Flag.rar
                                614 Flag.rar:Zone.Identifier:$DATA
27/02/2024  13:46                 0 Flag.txt.txt
                                 74 Flag.txt.txt:real_flag.txt:$DATA
               2 fichier(s)              194 octets
               2 Rép(s)  329 748 451 328 octets libres

Pour afficher ce flux alternatif, on peut passer par PowerShell

PS > Get-Content .\Flag.txt.txt -Stream real_flag.txt
"ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}"

Précédenti-got-a-virus Suivantcall-me-pliz

Dernière mise à jour il y a 7 mois

Cet article vous a-t-il été utile ?

Catégorie: Forensic Difficulté: Facile Flag: ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}

Challenge

Description

We have hidden something in the file and I'm sure you won't find it. Make sure to extract the archive using WinRar. Windows is your friend.

Solution

On peut utiliser WinRAR pour lister les fichiers présents dans l'archive

>unrar vta Flag.rar

UNRAR 7.00 x64 Freeware      Copyright (c) 1993-2024 Alexander Roshal

Archive: Flag.rar
Détails: RAR 5

         Nom: Flag.txt.txt
        Type: Fichier
      Taille: 0
Taille compressée: 0
        Taux: 0%
     Modifié: 2024-02-27 12:46:19,640340000
   Attributs: ..A....
       CRC32: 00000000
Système d'exploitation hôte: Windows
 Compression: RAR 5.0(v50) -m0 -md=128k

         Nom: STM
        Type: Flux de données de remplacement NTFS
       Cible: :real_flag.txt
      Taille: 74
Taille compressée: 75
        Taux: 101%
   Attributs: .B
       CRC32: 1C0A72C4
Système d'exploitation hôte: Windows
 Compression: RAR 5.0(v50) -m3 -md=128k

     Service: EOF

Il est possible de voir ça, après une extraction classique, avec la commande

> dir /R

30/09/2024  10:49    <DIR>          .
30/09/2024  10:14    <DIR>          ..
30/09/2024  10:16               194 Flag.rar
                                614 Flag.rar:Zone.Identifier:$DATA
27/02/2024  13:46                 0 Flag.txt.txt
                                 74 Flag.txt.txt:real_flag.txt:$DATA
               2 fichier(s)              194 octets
               2 Rép(s)  329 748 451 328 octets libres

Pour afficher ce flux alternatif, on peut passer par PowerShell

PS > Get-Content .\Flag.txt.txt -Stream real_flag.txt
"ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}"