Jobstacle_I

Flag: ECW{mcd0_cr4ck}

Challenge

16MB

Solution

Déchiffrement du ZIP

Première reconnaissance du fichier :

> 7z l -slt hammer.zip

--
Path = hammer.zip
Type = zip
Physical Size = 16368374

----------
Path = Application-Form.pdf
[...]
Method = ZipCrypto Store
[...]

L'idée ici c'est de voir que ZipCrypto (l'algorithme de chiffrement originel des zip) n'est pas sécurisé. Notamment face à aux attaques de type Known-Plaintext.

Sauf que l'archive contient un fichier svg. Ca tombe bien, ils commencent toujours par la même chose, donc on va pouvoir utiliser ce type d'attaque avec l'outil bkcrack (il n'a besoin que de 12 bytes connus pour trouver la clé utilisée).

$ printf '<?xml version="1.0" encoding=' > svg_header.bin

$ bkcrack -C hammer.zip -c "Hammer_industries.svg" -p svg_header.bin
bkcrack 1.8.0 - 2025-08-18
[16:53:09] Z reduction using 22 bytes of known plaintext
100.0 % (22 / 22)
[16:53:09] Attack on 338485 Z values at index 6
Keys: 0b717953 f2bdfe0b 514d8424
38.1 % (129085 / 338485)
Found a solution. Stopping.
You may resume the attack with the option: --continue-attack 129085
[16:54:29] Keys
0b717953 f2bdfe0b 514d8424

Maintenant, on peut retirer le mot de passe grâce à ces clés :

$ bkcrack -C hammer.zip -k 0b717953 f2bdfe0b 514d8424 -D hammer_decrypted.zip
bkcrack 1.8.0 - 2025-08-18
[16:58:26] Writing decrypted archive hammer_decrypted.zip
100.0 % (4 / 4)

VHDX

Un fois l'archive déchiffrée, en ouvrant le fichier USDroneLaws.docx en tant qu'archive (car c'est un docx, donc une archive) on peut y trouver un fichier xml très lourd (et très suspect) :

Il s'agit en réalité d'un VHDX (un disque virtuel Hyper-V Microsoft). Par simplicité, on va le monter avec PowerShell et la commande Mount-VHD.

> mv .\disk_fefe.xml .\disk_fefe.vhdx
> Mount-VHD -Path .\disk_fefe.vhdx -ReadOnly

On se retrouve alors avec plusieurs fichiers, notamment deux PDF qui parlent de Base64 et ROT13.

Alternate Data Stream

Sur Windows, on peut utiliser des Alternate Data Stream (ADS). Ca veut dire qu'un même fichier peut avoir plusieurs contenus différents, et c'est exactement ce qu'il se passe ici :

PS G:\Private_Viewing> Get-Item ./* -Stream *

[...]

PSPath        : Microsoft.PowerShell.Core\FileSystem::G:\Private_Viewing\R45T3K7.txt:ads
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::G:\Private_Viewing
PSChildName   : R45T3K7.txt:ads
PSDrive       : G
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : G:\Private_Viewing\R45T3K7.txt
Stream        : ads
Length        : 22

[...]

Le fichier R45T3K7.txt contient un autre flux, que l'on peut obtenir comme ça :

PS G:\Private_Viewing> Get-Content .\R45T3K7.txt:ads
UlBKe3pwcTBfcGU0cHh9

C'est tout simplement le flag encodé en Base64 et ROT13. Un petit tour sur CyberChef :

PrécédentClipbored SuivantSecure_Volt_I

Mis à jour il y a 3 mois

hashtagChallenge

hashtagSolution

hashtagDéchiffrement du ZIP

hashtagVHDX

hashtagAlternate Data Stream

Challenge

Solution

Déchiffrement du ZIP

VHDX

Alternate Data Stream