Challenge CTF Richelieu de la DGSE

JoeHell

JoeHell

Habitué
La DGSE a lancé un défi informatique sur ce site : https://www.challengecybersec.fr/

Vous avez aimé la 4e saison de la série "Le Bureau des Légendes" ? C'est un test pour entrer dans leur service :LOL:

Les messages qu'on a déjà écrit dans le thread de flood :

panzerkampfwagenVItiger à dit :
https://www.challengecybersec.fr un défi lancé par la dgse j'ai pas compris mais peut être que vous si :)
Cliquez pour agrandir...
Stronge à dit :
Début de réponse ici.
Cliquez pour agrandir...
JoeHell à dit :
Je suis pas spécialisé en technos web, du coup j'ai juste réussi à décoder une image du portait de Richelieu, avec des infos bizarres en fin du fichier jpeg (ça parle de mot de passe, de bash_history, de fichier zip, de fichier png).

Voir la pièce jointe 5851
C'est une réduction, l'image originale fait 7 Mo (2110x3508)
Cliquez pour agrandir...
BüH à dit :
Alors si on mate la source de la page on voit qu'un fichier JSON est appelé : https://www.challengecybersec.fr/manifest.json
Il est fait mention de CTF, "capture the flag" donc.
Une recherche google sur CTF Challenge Richelieu, donne cette page, qui donne un peu plus d'indice sur ce challenge.

Bon, si on revient sur la source, on voit :
JavaScript : 
<script>
let login = "rien";
let password = "nothing";
if (login === password) {
document.location="./Richelieu.pdf";
}
</script>
Du coup on est tenté d'aller sur https://www.challengecybersec.fr/Richelieu.pdf
On arrive sur un document pdf de 364 pages (bizarre !), mais avec seulement un texte sur la première page :


Pour le reste, je sèche :D
Cliquez pour agrandir...
JoeHell à dit :
Le PDF contient justement l'image que j'ai mise, il faut copier-coller le contenu des pages au texte qui est blanc, c'est un codage MIME (j'ai reconnu ça de quand je lisais mes mails dans un terminal texte en 1996 à la fac ^^)
Cliquez pour agrandir...
Dr Bob Kelso à dit :
Oh ça, ça me plaît ! :D
Je suis aussi arrivé au gros PDF avec le MIME caché.
Cliquez pour agrandir...

Comme je sens qu'on a vraiment un niveau très loin de ce qui est demandé, on peut essayer de mettre en commun ce qu'on trouve.

Ce soir je mettrai un lien vers l'image brute décodée dans le PDF, dans son code elle contient pas mal d'éléments exploitables, mais je ne sais pas comment...
 
Dr Bob Kelso

Dr Bob Kelso

Habitué
Super ce topic, merci ! :D
JoeHell à dit :
Ce soir je mettrai un lien vers l'image brute décodée dans le PDF, dans son code elle contient pas mal d'éléments exploitables, mais je ne sais pas comment...
Cliquez pour agrandir...
Je peux déjà la mettre si tu veux :
iMdenn91U

Je n'ai pas encore analysé le fichier en tant que tel, mais graphiquement il y a des éléments qui titillent mes yeux. Le chapeau n'a pas le même rendu que le reste et est très pixelisé. Et le décor à droite semble avoir des motifs étrange en modifiant le contraste.
 
JoeHell

JoeHell

Habitué
Oui, il faudrait mettre un lien de drive cloud.

J'ai aussi essayé de triturer l'image, en faisant des inversions de palette de couleur, augmenter/baisser le contraste ou la luminosité, sans succès.

Dans le code de l'image, c'est les 3 ou 5 dernières lignes qui contiennent des indices. J'ai balayé manuellement les 7 Mo du code avec la touche Page Down, j'ai rien remarqué d'autre, mais c'est pas très fiable.
 
Dr Bob Kelso

Dr Bob Kelso

Habitué
JoeHell à dit :
Dans le code de l'image, c'est les 3 ou 5 dernières lignes qui contiennent des indices.
Cliquez pour agrandir...
Ah oui effectivement je viens de voir ça. Mais j'ai du mal à tout déchiffrer en ouvrant avec Notepad++ (je vois juste « cette archive », « motdepassGPG.txt » et quelques bribes).
Il faut passer par quel type de logiciel pour lire quelque chose de propre ?
 
BüH

BüH

Habitué
Vous croyez que si on réussit le challenge ya moyen de se faire embaucher à la DGSE ? :normal:
 
JoeHell

JoeHell

Habitué
Le lien de l'image : http://dl.free.fr/iXKsYKvH2
Son nom, peut-être qu'il a un sens : decoded_20190522161027.jpeg (date de mise en ligne du concours ?)

J'ai lancé une recherche des termes "http" ou "ftp" dedans, aucun résultat.

Et la fin du fichier pour ceux qui veulent pas éditer, avec les indices potentiels en couleur :

PK ŠŠšN‡As B
¤ .bash_historyUT ³!Ã\ux è è Le mot de passePK
œƒN½ØW K ¤_ suite.zipUT '
Ç\ux è è de cette archivePK ®ƒNo[5Ç d 4 ¤ prime.txtUT G
Ç\ux è è est : DGSE{t.D=@Bx^A%n9FQB~_VL7Zn8z=:K^4ikE=j0EGHqI}PK ®ƒN
ï&¯ƒ
¤# public.keyUT G
Ç\ux è è PK
®ƒNÕu%j ¤ú motDePasseGPG.txt.encUT G
Ç\ux è è PK «ƒN‚°fG_ ŸC_ ¤e
lsb_RGB.png.encUT B
Ç\ux è è PK D $R_
 
Dernière édition :
Guicheman

Guicheman

Habitué
Il y a aussi le "public.key" que tu peux coloriser.

Et j'ai l'impression que le garbage qui entoure la partie "compréhensible" peut servir de balise pour découper et regrouper ce qui nous intéresse. Je suis sur mobile là, je vais me pencher dessus ce soir.

Par exemple : les parties coloriées sont suivie par PK ou par UT. (oui, je pense que les ".enc" qui suivent les noms de fichiers sont à prendre en compte)
 
Dernière édition :
Guicheman

Guicheman

Habitué
De ce que j'ai pu regarder vite fait avant de partir du boulot, le premier js a l'air d'être dédié pour gérer le fond du site. Mais il y a à quand même l'air d'y avoir des fonctions qui n'ont rien à faire là. Mais je m'y connais pas trop en js.
 
sylvain3564

sylvain3564

Habitué
En mettant tous les "PK" ensemble, on obtient la phrase :
Le mot de passe de cette archive est : DGSE{t.D=@Bx^A%n9FQB~_VL7Zn8z=:K^4ikE=j0EGHqI}

Peut-être faut-il voir là le mot de passe du fichier "suite.zip" (ou de (.)bash_history(_ )suite.zip) ?
 
Guicheman

Guicheman

Habitué
Ok, j'ai avancé.
Alors, j'ai utilisé un éditeur hexadécimal sur l'image, et j'ai cherché le magic number d'un fichier zip (pour ceux qui savent pas ce que c'est, c'est en gros ce qui identifie le type de fichier au tout début de celui ci).
Et je pense avoir retrouver 6 fichiers. je vais essayer de les extraire.
 
Identifiez-vous ou inscrivez-vous pour participer.
Haut