Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  15 6921
Kom over denne finn-annonsen til PST. Klarer dere freaks å knekke gåten de har lagt ut der? https://www.finn.no/136455922

Jeg ber om at løsningsordet ikke deles offentlig i tråden, av hensyn til rekrutteringen.
Sist endret av Heidrun; 9. januar 2019 kl. 01:21.
Interesant,jeg ser at søknadsfristen er 23.01

Er det da innefor og poste løsningsordet etter søknadsfristen er ut ��
Trådstarter
31 2
Ja, det vil jeg si burde være greit.
Hvor begynner man?
Litt søtt med selvironi, da.
En oktobermorgen fikk vi pulsen til å økex
var det en hackeR som hadde lykkes med forsøkeTx
men en HAI I en TWeeTx
er ikke særlig 1337.x
løser du gåtEn bør dU vurdere å søke
Kan være noen bra hint her.
Denne må jo være relevant: https://www.tv2.no/nyheter/10172429/

Jeg bemerker forøvrig at teksten ligner litt på et limerick, men det er ikke et - rytmen går alle veiene, antall stavelser går ikke opp og enderimene er tidvis tvilsomme. Skjønt, det ville overraske meg litt om de graver seg ned i verskekunstens subtiliteter såpass tidlig i rekrutteringsprosessen.
Sitat av Spock_ Vis innlegg
Hvor begynner man?
Vis hele sitatet...
Ta de store bokstavene og sett de sammen, deretter stokk litt om på de.

(hint: det peker mot en nettside som ender på .eu)
Første delen var nesten for enkel.
Nettsiden derimot...*har egentlig ikke tid, bør jobbe, men...*
Har løst hele - den er egentlig ikke så ille. Har vært med på betydelig vanskeligere CTF'er før (hvor jeg stod som spørsmålstegn frem til den ene oppgaven jeg klarte å løse viste seg...), men jeg synes egentlig at det er bra at den har fått så mye oppmerksomhet. Kanskje det norske CTF-miljøet endelig kommer til å vokse litt mer
Limited edition
Moff's Avatar
Nå har denne oppgaven ligget ute en god stund allerede, så jeg tror ikke det er så brånøye om vi publiserer løsningene her. Dessuten så får du ikke automatisk en jobb i PST hvis du klarer å løse disse oppgavene; og selv om du på ett eller annet magisk vis skulle klare å komme deg til et intervju bare fordi du har løst alle sammen, så vil det være pinlig åpenbart for alle parter at du har fått svarene servert i stedet for å løse dem selv.

Jeg synes denne typen oppgaver er veldig spennende, og det er veldig mye læring i å prøve å løse dem - selv om du ikke har tenkt å søke på jobben.

Jeg har selv løst 11 oppgaver. Jeg tror ikke det er noen flere. Det finnes mange løse tråder som ikke er knyttet til løsningene mine, noe som jeg antar betyr at de enten liker å plante misledende hint eller at det faktisk er flere oppgaver enn de 11 jeg har løst.

Nedenfor er en oversikt med hint (ingen direkte løsninger, men veldig solide ledetråder). Helt nederst finner du løsningene på alle 11.

Hint, oppgave 1
SPOILER ALERT! Vis spoiler

Samle alle store bokstaver og bruk det som et domene.


Hint, oppgave 2
SPOILER ALERT! Vis spoiler

Behandle teksten som et anagram, endre rekkefølgen på bokstavene for å danne et nytt ord.


Hint, oppgave 3
SPOILER ALERT! Vis spoiler

Ekstra data er skjult inne i bildefilen på nettsiden.


Hint, oppgave 4
SPOILER ALERT! Vis spoiler

Kildekoden til nettsiden inneholder koden til passordsjekken.


Hint, oppgave 5
SPOILER ALERT! Vis spoiler

Ved å løse oppgave 4 spretter det opp en tekst som er kryptert med et Cæsar-siffer.


Hint, oppgave 6
SPOILER ALERT! Vis spoiler

Finn brukeren twitt3rhai på Twitter og kopier alle Tweets fra denne kontoen inn i en teksteditor som kan vise teksten i en monospace-font (for eksempel Courier New eller Lucida Console).


Hint, oppgave 7
SPOILER ALERT! Vis spoiler

Siste Tweet fra twitt3rhai inneholder frasen "ROBOTS TXT" gjemt med store bokstaver.


Hint, oppgave 8
SPOILER ALERT! Vis spoiler

Se etter filen robots.txt på en av webserverne fra tidligere oppgaver.


Hint, oppgave 9
SPOILER ALERT! Vis spoiler

Den hemmelige mappen inneholder én fil. Prøv å finne ut hvilket program filen tilhører.


Hint, oppgave 10
SPOILER ALERT! Vis spoiler

Noen av pakkene i WireShark-filen inneholder en mistenkelig payload.


Hint, oppgave 11
SPOILER ALERT! Vis spoiler

Zip-filen fra oppgave 10 inneholder et PNG-bilde som viser en hai med tre symboler. Symbolene er runer som danner en forkortelse. Se forkortelsen i sammenheng med navnet på bildefilen.


Og her er løsningene (spoiler alert, duh):

Løsning, oppgave 1
SPOILER ALERT! Vis spoiler


Løsning, oppgave 2
SPOILER ALERT! Vis spoiler


Løsning, oppgave 3
SPOILER ALERT! Vis spoiler


Løsning, oppgave 4
SPOILER ALERT! Vis spoiler

H4mm3rH4i


Løsning, oppgave 5
SPOILER ALERT! Vis spoiler


Løsning, oppgave 6
SPOILER ALERT! Vis spoiler

HAI1337


Løsning, oppgave 7
SPOILER ALERT! Vis spoiler


Løsning, oppgave 8


Løsning, oppgave 9
SPOILER ALERT! Vis spoiler

Åpne filen i WireShark


Løsning, oppgave 10
SPOILER ALERT! Vis spoiler

Pakke nummer 362 inneholder en zip-fil. Eksporter bytes fra denne framen og lagre det som en zip-fil. Pakke 148, 160 og 172 sier at "passordet har du allerede"; bruk løsningen fra oppgave 6 som passord på zip-filen (HAI1337).


Løsning, oppgave 11
SPOILER ALERT! Vis spoiler

Bildet inneholder runene LSB (Least Significant Byte). PNG lagres med såkalt network byte order, som er most significant byte først. Det er dermed lett å gjemme informasjon i den minste bit-en av hver byte. Dette faller inn under feltet steganografi. Bildet inneholder URL-en http://twitterhai.tech/u_are_th3_winrar.jpg
Trådstarter
31 2
Oppgave 11 er ikke siste oppgave slik jeg har fostått det. Avslutningen er en tekstfil som heter gratulerer.txt som inneholder et kodeord man skal legge ved i søknaden.
Sitat av Heidrun Vis innlegg
Oppgave 11 er ikke siste oppgave slik jeg har fostått det. Avslutningen er en tekstfil som heter gratulerer.txt som inneholder et kodeord man skal legge ved i søknaden.
Vis hele sitatet...
Stemmer. Dog for siste oppgave så står løsningen veldig klart beskrevet på siden, sånn egentlig

Hint for siste:

SPOILER ALERT! Vis spoiler

URLen til bildet.
Sist endret av Freddy_fred5; 9. januar 2019 kl. 17:25.
Limited edition
Moff's Avatar
Se der ja, jeg hadde gått glipp av siste steg. Jeg lastet faktisk ned filen og forsøkte å pakke den ut just in case, men da dette feilet (fordi jeg valgte feil filformat) så antok jeg at det ikke var flere steg.

Det er vel kanskje en viktig leksjon som er relevant for jobben også - i virkeligheten aner du jo ikke når du har nådd bunnen av kaninhullet, hvis det i det hele tatt er noen kode å knekke. I en konkurransesetting så vet man i det minste at det er noe å lete etter.
Ikke bare et dyr
Dyret's Avatar
Hvis dere liker slike oppgaver, så arrangeres det Capture The Flag (CTF)-konkurranser omtrent hver helg nå, dog av varierende kvalitet. Følg med på ctftime.org for å se etter offentlig annonserte konkurranser, samt for å lese writeups av hvordan andre løste oppgavene (kun etter konkurransen er ferdig). De varer stort sett 24-48 timer, og målet er å finne et "flagg", så du vet du har nådd målet når dette er funnet og konkurranse-systemet godtar det. Det er også et stort spekter av forskjellige oppgaver å velge mellom, og det er meningen å stille med et lag som til sammen har kunnskaper nok til å løse det meste. Ingen problemer å gjøre de alene riktignok, men da sliter man fort med å få tid til å løse alt.

Som et referanse-punkt, så vil dette kaninhullet vanligvis dekke 3-4 kategorier av oppgaver, og bli kategorisert som "junior"/"baby" i vanskelighetsgrad. De dekkede kategoriene er: "forensics"-kategorien, hvor man er nødt til å finne skjulte data i packet dumps, minnedumps og gjemt inni filer. "Steganography" involverer å finne informasjon gjemt i media som bilder, lyd, film osv. "Crypto" involverer ulike ciphers, hvor Caesar kanskje opptrer som en gratis-oppgave i ny og ne. "Web" går ofte ut på å finne eller utnytte informasjon på en webserver. Eneste gjengangerne som mangler er "pwn", hvor du er nødt til å utnytte en sårbarhet i et program slik at du få mer tilgang til en ekstern server - og "reversing", som går ut på å analysere programkode eller binærdata for å finne ut hva den gjør.

Merk at mange CTF-konkurranser er ment for et mer erfarent publikum, som ønsker en real utfordring. Så det kan lønne seg å finne en med en junior-del, f.eks. Google eller CCC sine, om man ikke er klar for å bite over veldig mye på en gang. Sier ikke dette for å være nedlatende, for miljøet som liker disse er gjerne utrolig kreative, og for en som går inn alene så vil dette fort bli veldig mye nytt på en gang.
Sist endret av Dyret; 10. januar 2019 kl. 00:06.