Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  19 14634
Kom over denne finn-annonsen til PST. Klarer dere freaks å knekke gåten de har lagt ut der? https://www.finn.no/136455922

Jeg ber om at løsningsordet ikke deles offentlig i tråden, av hensyn til rekrutteringen.
Sist endret av Heidrun; 9. januar 2019 kl. 02:21.
Interesant,jeg ser at søknadsfristen er 23.01

Er det da innefor og poste løsningsordet etter søknadsfristen er ut ��
Trådstarter
31 3
Ja, det vil jeg si burde være greit.
Hvor begynner man?
Litt søtt med selvironi, da.
En oktobermorgen fikk vi pulsen til å økex
var det en hackeR som hadde lykkes med forsøkeTx
men en HAI I en TWeeTx
er ikke særlig 1337.x
løser du gåtEn bør dU vurdere å søke
Kan være noen bra hint her.
Denne må jo være relevant: https://www.tv2.no/nyheter/10172429/

Jeg bemerker forøvrig at teksten ligner litt på et limerick, men det er ikke et - rytmen går alle veiene, antall stavelser går ikke opp og enderimene er tidvis tvilsomme. Skjønt, det ville overraske meg litt om de graver seg ned i verskekunstens subtiliteter såpass tidlig i rekrutteringsprosessen.
Sitat av Spock_ Vis innlegg
Hvor begynner man?
Vis hele sitatet...
Ta de store bokstavene og sett de sammen, deretter stokk litt om på de.

(hint: det peker mot en nettside som ender på .eu)
Første delen var nesten for enkel.
Nettsiden derimot...*har egentlig ikke tid, bør jobbe, men...*
Har løst hele - den er egentlig ikke så ille. Har vært med på betydelig vanskeligere CTF'er før (hvor jeg stod som spørsmålstegn frem til den ene oppgaven jeg klarte å løse viste seg...), men jeg synes egentlig at det er bra at den har fått så mye oppmerksomhet. Kanskje det norske CTF-miljøet endelig kommer til å vokse litt mer
Limited edition
Moff's Avatar
Nå har denne oppgaven ligget ute en god stund allerede, så jeg tror ikke det er så brånøye om vi publiserer løsningene her. Dessuten så får du ikke automatisk en jobb i PST hvis du klarer å løse disse oppgavene; og selv om du på ett eller annet magisk vis skulle klare å komme deg til et intervju bare fordi du har løst alle sammen, så vil det være pinlig åpenbart for alle parter at du har fått svarene servert i stedet for å løse dem selv.

Jeg synes denne typen oppgaver er veldig spennende, og det er veldig mye læring i å prøve å løse dem - selv om du ikke har tenkt å søke på jobben.

Jeg har selv løst 11 oppgaver. Jeg tror ikke det er noen flere. Det finnes mange løse tråder som ikke er knyttet til løsningene mine, noe som jeg antar betyr at de enten liker å plante misledende hint eller at det faktisk er flere oppgaver enn de 11 jeg har løst.

Nedenfor er en oversikt med hint (ingen direkte løsninger, men veldig solide ledetråder). Helt nederst finner du løsningene på alle 11.

Hint, oppgave 1
SPOILER ALERT! Vis spoiler

Samle alle store bokstaver og bruk det som et domene.


Hint, oppgave 2
SPOILER ALERT! Vis spoiler

Behandle teksten som et anagram, endre rekkefølgen på bokstavene for å danne et nytt ord.


Hint, oppgave 3
SPOILER ALERT! Vis spoiler

Ekstra data er skjult inne i bildefilen på nettsiden.


Hint, oppgave 4
SPOILER ALERT! Vis spoiler

Kildekoden til nettsiden inneholder koden til passordsjekken.


Hint, oppgave 5
SPOILER ALERT! Vis spoiler

Ved å løse oppgave 4 spretter det opp en tekst som er kryptert med et Cæsar-siffer.


Hint, oppgave 6
SPOILER ALERT! Vis spoiler

Finn brukeren twitt3rhai på Twitter og kopier alle Tweets fra denne kontoen inn i en teksteditor som kan vise teksten i en monospace-font (for eksempel Courier New eller Lucida Console).


Hint, oppgave 7
SPOILER ALERT! Vis spoiler

Siste Tweet fra twitt3rhai inneholder frasen "ROBOTS TXT" gjemt med store bokstaver.


Hint, oppgave 8
SPOILER ALERT! Vis spoiler

Se etter filen robots.txt på en av webserverne fra tidligere oppgaver.


Hint, oppgave 9
SPOILER ALERT! Vis spoiler

Den hemmelige mappen inneholder én fil. Prøv å finne ut hvilket program filen tilhører.


Hint, oppgave 10
SPOILER ALERT! Vis spoiler

Noen av pakkene i WireShark-filen inneholder en mistenkelig payload.


Hint, oppgave 11
SPOILER ALERT! Vis spoiler

Zip-filen fra oppgave 10 inneholder et PNG-bilde som viser en hai med tre symboler. Symbolene er runer som danner en forkortelse. Se forkortelsen i sammenheng med navnet på bildefilen.


Og her er løsningene (spoiler alert, duh):

Løsning, oppgave 1
SPOILER ALERT! Vis spoiler


Løsning, oppgave 2
SPOILER ALERT! Vis spoiler


Løsning, oppgave 3
SPOILER ALERT! Vis spoiler


Løsning, oppgave 4
SPOILER ALERT! Vis spoiler

H4mm3rH4i


Løsning, oppgave 5
SPOILER ALERT! Vis spoiler


Løsning, oppgave 6
SPOILER ALERT! Vis spoiler

HAI1337


Løsning, oppgave 7
SPOILER ALERT! Vis spoiler


Løsning, oppgave 8


Løsning, oppgave 9
SPOILER ALERT! Vis spoiler

Åpne filen i WireShark


Løsning, oppgave 10
SPOILER ALERT! Vis spoiler

Pakke nummer 362 inneholder en zip-fil. Eksporter bytes fra denne framen og lagre det som en zip-fil. Pakke 148, 160 og 172 sier at "passordet har du allerede"; bruk løsningen fra oppgave 6 som passord på zip-filen (HAI1337).


Løsning, oppgave 11
SPOILER ALERT! Vis spoiler

Bildet inneholder runene LSB (Least Significant Byte). PNG lagres med såkalt network byte order, som er most significant byte først. Det er dermed lett å gjemme informasjon i den minste bit-en av hver byte. Dette faller inn under feltet steganografi. Bildet inneholder URL-en http://twitterhai.tech/u_are_th3_winrar.jpg
Trådstarter
31 3
Oppgave 11 er ikke siste oppgave slik jeg har fostått det. Avslutningen er en tekstfil som heter gratulerer.txt som inneholder et kodeord man skal legge ved i søknaden.
Sitat av Heidrun Vis innlegg
Oppgave 11 er ikke siste oppgave slik jeg har fostått det. Avslutningen er en tekstfil som heter gratulerer.txt som inneholder et kodeord man skal legge ved i søknaden.
Vis hele sitatet...
Stemmer. Dog for siste oppgave så står løsningen veldig klart beskrevet på siden, sånn egentlig

Hint for siste:

SPOILER ALERT! Vis spoiler

URLen til bildet.
Sist endret av Freddy_fred5; 9. januar 2019 kl. 18:25.
Limited edition
Moff's Avatar
Se der ja, jeg hadde gått glipp av siste steg. Jeg lastet faktisk ned filen og forsøkte å pakke den ut just in case, men da dette feilet (fordi jeg valgte feil filformat) så antok jeg at det ikke var flere steg.

Det er vel kanskje en viktig leksjon som er relevant for jobben også - i virkeligheten aner du jo ikke når du har nådd bunnen av kaninhullet, hvis det i det hele tatt er noen kode å knekke. I en konkurransesetting så vet man i det minste at det er noe å lete etter.
Hvis dere liker slike oppgaver, så arrangeres det Capture The Flag (CTF)-konkurranser omtrent hver helg nå, dog av varierende kvalitet. Følg med på ctftime.org for å se etter offentlig annonserte konkurranser, samt for å lese writeups av hvordan andre løste oppgavene (kun etter konkurransen er ferdig). De varer stort sett 24-48 timer, og målet er å finne et "flagg", så du vet du har nådd målet når dette er funnet og konkurranse-systemet godtar det. Det er også et stort spekter av forskjellige oppgaver å velge mellom, og det er meningen å stille med et lag som til sammen har kunnskaper nok til å løse det meste. Ingen problemer å gjøre de alene riktignok, men da sliter man fort med å få tid til å løse alt.

Som et referanse-punkt, så vil dette kaninhullet vanligvis dekke 3-4 kategorier av oppgaver, og bli kategorisert som "junior"/"baby" i vanskelighetsgrad. De dekkede kategoriene er: "forensics"-kategorien, hvor man er nødt til å finne skjulte data i packet dumps, minnedumps og gjemt inni filer. "Steganography" involverer å finne informasjon gjemt i media som bilder, lyd, film osv. "Crypto" involverer ulike ciphers, hvor Caesar kanskje opptrer som en gratis-oppgave i ny og ne. "Web" går ofte ut på å finne eller utnytte informasjon på en webserver. Eneste gjengangerne som mangler er "pwn", hvor du er nødt til å utnytte en sårbarhet i et program slik at du få mer tilgang til en ekstern server - og "reversing", som går ut på å analysere programkode eller binærdata for å finne ut hva den gjør.

Merk at mange CTF-konkurranser er ment for et mer erfarent publikum, som ønsker en real utfordring. Så det kan lønne seg å finne en med en junior-del, f.eks. Google eller CCC sine, om man ikke er klar for å bite over veldig mye på en gang. Sier ikke dette for å være nedlatende, for miljøet som liker disse er gjerne utrolig kreative, og for en som går inn alene så vil dette fort bli veldig mye nytt på en gang.
Sist endret av Dyret; 10. januar 2019 kl. 01:06.
▼ ... mange måneder senere ... ▼
Ser de har en ny annonse ute nå. https://www.finn.no/job/fulltime/ad....kode=158269670

Litt utypisk bilde, men dårlig oppløsning. På hjemmesidene sine linker de til annonsen på webcruiter som har bildet i høyere oppløsning: https://1005007.webcruiter.no/Main/R...82?language=NB
Limited edition
Moff's Avatar
Denne var litt mer subtil, men det er en hemmelig nøtt å knekke denne gangen også.

For de som liker å dille med denslags og ønsker å lære, her er en kjapp gjennomgang (spoilers, duh).

Del 1: Første øyekast - relativt harmløs informasjon
SPOILER ALERT! Vis spoiler

Dette vet vi:
- Det er tilsynelatende ingen nyttig informasjon i selve annonseteksten.
- Det er et mystisk bilde med mange ledetråder i annonsen:



Del 2: Hva vi vet så langt
SPOILER ALERT! Vis spoiler

På bildet ser vi 3 skjermer. Til venstre har vi noe som ligner en nettverkspakke. Capsen til den ansatte viser ordet "pcap", som underbygger dette. Selv med den høyeste tilgjengelige oppløsningen er det ikke lett å se alle bytes som er avbildet, så dette er mest sannsynlig kun "eye candy", og ikke et spor.

Skjermen i midten viser et Python-skript som heter "encrypt". Skriptet importerer biblioteker for å utføre AES-kryptering. Det laster inn en fil med ukjent innhold ("plain.txt"), skaper en såkalt initialization vector (IV) samt en nøkkel (key) og krypterer filen plain.txt med AES i CBC-mode (Cipher Block Chain).

Nederst i skriptet ligger det en kommentar som sier "TODO: Automate posting of ciphertext to twitter.com/twitt3rhai".

Twitt3rHai er en gammel kjenning fra forrige oppgave i denne tråden. Skjermen til høyre viser også Twitter-siden for denne kontoen.


Del 3: Innsamling av informasjon
SPOILER ALERT! Vis spoiler

Ved å besøke Twitt3rHai ser vi at det er dukket opp en tweet samme dag som annonsen ble publisert, 20. september. Tweet-en inneholder følgende tekst:

/lb0WZDpaIDJVJwy+Q04LCqERqVj7AUItWGREJuXJeWtZN77yP6grehn1gRif 31hjTEjLNFyxESweea81/QluWUyhZV9vmabm8NYkkSc6JJWuylGJKQJzA/wC2cM2ScrQQ8gV7GcnVyBCh7eq/N0jUm/L4xrX6IUIDi5CAkVZ9xSS5Tb4o01onOTbGWLd1EZwzZOMlq88wsTPZ6zY7dq j+LKq3Pj6SKlZfaR9eo6PXrRUOARCe9sQVtWVKc5DJfI

Det er trygt å anta at dette er resultatet fra skriptet vi ser på bildet; den krypterte filen. Bildet viser oss all nødvendig informasjon for å kunne dekryptere filen; nøkkelen, modus og IV-en. Nøkkelen er enkel, den er skrevet rett inn i koden:

\xba\xda\x55 HackerMan \x13\x37

IV-en er litt mer innviklet, fordi den er generert basert på filen vi prøver å dekryptere, som vi følgelig ikke har tilgang til ennå.

For å komme videre må du ha kunnskap om moderne AES-kryptering.


Del 4: De siste bitene - utregning
SPOILER ALERT! Vis spoiler

Fordi vår HackerMan bruker CBC-modus kan vi gå ut i fra to ting:
- IV-en er 16 byte
- IV-en er mest sannsynlig prependet i starten av tweet-en (dette er normal praksis)

Første 16 bytes er:

/lb0WZDpaIDJVJwy

Vi ser koden som genererer IV-en, og vet at vi bare må trekke fra 16 for å se hvilken byte som kom fra plain.txt. Ved å gjøre dette for alle 16 bytes ender vi opp med følgende IV (her vist som hexadesimaler):

1f 5c 52 20 47 4a 34 60 51 39 34 3a 46 3a 67 69

Nøkkelen er som sagt skrevet rett inn i koden, men alle utviklere vil kjenne igjen hex-prefiksen (\x), og skjønne at denne må tolkes som sådan. Ved å konvertere hele stringen til hexadesimaler får vi denne nøkkelen:

ba da 55 20 48 61 63 6b 65 72 4d 61 6e 20 13 37

Vi vet nå at vi ser på et 128-bit AES cipher med CBC, vi vet IV og vi vet key. Herfra kan du bruke et hvilket som helst krypteringsbibliotek i nær sagt et hvilket som helst programmeringsspråk - eller bare paste inn informasjonen i et online verktøy for dekryptering. (Bare husk at første 16 bytes er IV-prefiksen.)


Del 5: Løsningen
SPOILER ALERT! Vis spoiler

Gratulerer! Du klarte det! Beklager, men denne gangen har vi ikke laget flere oppgaver. Håper du vil søke jobben. Hvis du blir ansatt kan vi love deg mange utfordrende oppgaver.
▼ ... over en måned senere ... ▼
Bra kok på challengefronten hos PST for tiden! Nå er de i gang med en adventskalender også.


https://www.finn.no/job/fulltime/ad....kode=163738125
https://npst.no/
For de som vil ha en litt mer teknisk og avansert julectf:
https://twitter.com/Rigspoliti_NC3/s...43591972491264