35C3 Junior CTF – rare_mount
Challenge
Little or big, we do not care!
File: ffbde7acedff79aa36f0f5518aad92d3-rare-fs.bin
Analyse
Nach dem Download der Datei wurde mit dem Befehl “file” geschaut, um welchen Dateityp es sich handelt.
1 2 | $file ffbde7acedff79aa36f0f5518aad92d3-rare-fs.binffbde7acedff79aa36f0f5518aad92d3-rare-fs.bin: data |
Leider hilft das noch nicht wirklich weiter. Ein weiterer Versuch mit dem Programm “binwalk”:
1 2 3 4 5 | $binwalk ffbde7acedff79aa36f0f5518aad92d3-rare-fs.binDECIMAL HEX DESCRIPTION------------------------------------------------------------0 0x0 JFFS2 filesystem, big endian |
Es handelt sich bei der Datei um ein JFFS2 Filesystem.
Information gathering
Nach der Recherche können Dateien mit dem “JFFS2 filesystem extraction tool” extrahiert werden.
1. Download des Tools
1 | $git clone https://github.com/sviehb/jefferson |
2. Installation
1 2 3 | $cd jefferson$chmox +x setup.py$./setup.py |
Danach steht das Tool systemweit (/usr/local/bin/jefferson) zur Verfügung.
Durchführung
1. Das Tool anwenden und Dateien extrahieren.
1 | $jefferson ffbde7acedff79aa36f0f5518aad92d3-rare-fs.bin -d rare_output |
2. Flag suchen
Das Tool legt einen Ordner mit dem Namen “rare_output” an. Dort ist ein weiterer Unterordner mit dem Namen “fs_1” enthalten. Dieser wiederum enthält zwei Dateien.
In der Textdatei befindet sich das gesuchte Flag.
Solution: 35C3_big_or_little_1_dont_give_a_shizzle