Hack-IT: DTMF

2016-08-24 von Mario

Ein weiteres spannendes Steganographie Hack-IT in dem eine MP3 File bereitgestellt wurde.

 

Während des Anhörens können “Piep” Töne wahrgenommen werden. Diese erinnern spontan an das Wählen eines analogen Telefons. Für eine weitere Analyse der Frequenzen kann das Tool Audacity verwendet werden.

1. Umwandeln der MP3-Datei in eine WAV-Datei.

lame --decode sound.mp3 sound.wav

2. Die WAV-Datei mit Audacity öffnen (Datei | Datei Öffnen…) und analysieren.

dtmf01

Hier sind die einzelnen Töne zu erkennen. Für eine genauere Analyse den ersten Bereich (gedrückte linke Maustaste) markieren.

dtmf02

Daraufhin in der Software Audacity den Menüpunkt “Analyse” und “Frequenzanalyse” wählen.

3. Durchführen der Frequenzanalyse

Die Maus zum ersten Peak bewegen. Unter dem Diagramm wird der Wert “Spitze” mit 701 Hz angezeigt.

dtmf03

Danach die Maus zum zweiten Peak bewegen. Der Wert “Spitze” zeigt hier 1216 Hz an.

dtmf04

4. Identifizierung der eingegebenen Nummern

Bei dem Mehrfrequenzwahlverfahren (MFV) bzw. dem Dual-tone multi-frequency signaling (DTMF) wird die Rufnummer an die Vermittlungsstelle oder eine Telefonanlage übermittelt. Dabei werden folgende Frequenzen verwendet:

 

MFV-Tastenbelegung
1209 Hz 1336 Hz 1477 Hz 1633 Hz
697 Hz 1 2 3 A
770 Hz 4 5 6 B
852 Hz 7 8 9 C
941 Hz * 0 # D

 

Jede Zeile repräsentiert einen tiefen und jede Spalte einen hohen Ton. Wenn eine Taste gedrückt wird, ergibt sich ein Ton aus der Überlagerung der Tonfrequenzen.

Der erste ermittelte Ton 701 Hz kann in der ersten Zeile verortet werden. Der zweite Ton 1216 Hz ist in der ersten Spalte zu finden. Daraus ergibt sich die erste Zahl “1”. Die Schritte zwei, drei und vier müssen jeweils wiederholt werden.

 

Das gesuchte Passwort lautet: 1337.

 

5. Automatische Erkennung der Frequenzen

Eine alternative Möglichkeit ist die automatische Erkennung der Frequenzen und die Auflösung der damit verbundenen Zahlen mit der Software multimon.

multimon -t wav sound.wav -a DTMF

Wenn es funktioniert, sollte sich die Ausgabe wie folgt darstellen:

dtmf05

 

Hack-IT: Steganographie – bebe iloron

2015-11-11 von Mario

Ein “Hack-IT” ist eine Hacking Challenge bzw. ein Hacking Contest, zu Deutsch eine “Herausforderung zum Hacken“. Dabei wird eine Aufgabe oder eine Abfolge von Aufgaben definiert. Die Aufgaben befassen sich thematisch mit verschiedenen Bereichen, z.B. Steganographie, Kryptographie, JavaScript, Reverse Engineering, Logik, Mathematik, Programmierung, Security und vieles mehr.

Bei der folgenden Aufgabe handelt es sich um ein Steganographie Hack-IT. In der Steganographie wird eine verborgene Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container) durchgeführt. Die hier abgebildete Grafik beinhaltet mehr Informationen als auf Anhieb ersichtlich ist.

bebe_lloron3

Auf den ersten Blick ist nichts Auffälliges zu erkennen. Deshalb wird das Bild nach enthaltenen Textbausteinen mit dem Befehl “strings” durchsucht.

strings bebe_lloron3.jpg

Nach genauerer Betrachtung aller ausgegeben Texte fallen zwei Informationen auf.

strings

  1. P4ssw0rd: nO pArA dE lLoRar!
  2. lupa5.gif^^?

Mit diesen Informationen kommen wir allerdings noch nicht ans Ziel. Also wird das Bild mit einem Hex-Editor untersucht.

hex1

Im Hex-Editor ist das Dateiformat JFIF erkennbar. Wird nach dem Text “P4ssw0rd” gesucht, wird dieser ebenfalls gefunden.

hex2

Da an das Bild etwas hinzugefügt wurde, muss das Ende der Bilddatei gefunden werden. Dafür können Datei-Signatur-Datenbanken verwendet werden. Mögliche Quellen sind die Seiten www.filesignatures.net oder wikipedia.

SOI (Start of Image): FF D8 FF E0

EOI (End of Image): FF D9

Suchen wir jetzt nach dem Dateiende “FF D9”, dann wird ersichtlich, dass eine Datei an das Bild angefügt wurde.

hex3

Die Buchstaben “Rar” aus dem gefunden Text lassen darauf schließen, dass es sich bei der angehängten Datei um eine RAR-Datei handelt. Das Spiel mit der Filesiganture wird wiederholt und im HEX-Editor danach gesucht.

Start of RAR File: 52 61 72 21 1A 07 00

hex4

Jetzt gilt es, die RAR-Datei und die Grafik voneinander zu trennen. Mit dem Hex-Editor (Bless) einfach alle Zeilen ab dem Wert markieren, kopieren und danach eine neue Datei mit Bless anlegen, einfügen und speichern (archive.rar).

Mit dem Befehl “unrar” kann die RAR-Datei entpackt werden.

unrar x archive.rar

unrar

Dabei wird die Eingabe eines Passworts erwartet, welches wir glücklicherweise schon gefunden haben. Das Passwort zum extrahieren lautet “nO pArA dE lLo”. Daraufhin wird eine weitere Grafik entpackt, die folgenden Inhalt besitzt.

lupe1

Da die Lupe schon auf die Pixel hinweist, schauen wir uns diese etwas genauer an. Um die Kanten klarer abzugrenzen, werden ein paar Hilfslinien eingezeichnet.

lupe2

Die Darstellung erinnert an einen QR-Code, wobei irgend etwas fehlt. Nach kurzer Recherche auf Wikipedia wird ersichtlich, dass die speziellen Markierungen fehlen. Nach etwas “Malen nach Zahlen” sieht die Grafik wie folgt aus:

lupe3

Irgendetwas stimmt noch nicht, wird die Grafik aber horizontal gedreht passt alles.

lupe4

Die Grafik kann dann auf der Seite www.onlinebarcodereader.com hochgeladen werden und der Lösungstext wird angezeigt.

final

 

Das Hack-IT ist somit gelöst. :)

Dateien in Bildern verstecken

2015-04-11 von Mario

Einige Bilder enthalten mehr Informationen als auf den ersten Blick ersichtlich.

logo_neu

Um Informationen vor Dritten zu verstecken, kann sich der Steganographie bedient werden. Für die Übertragung der Information wird ein Trägermedium, in dem Beispiel ein Bild, verwendet.

Teil 1: Bildanalyse (geheime Information enttarnen)

Mit dem Befehl “file” kann unter Linux eine erste Analyse vorgenommen werden.

file logo_neu.jpg

Das Ergebnis hilft noch nicht weiter.
Analyse01
Ein weiteres Analysetool ist die Software binwalk. Zur Installation folgenden Befehl eingeben:

apt-get install binwalk

Danach den Befehl “binwalk” mit dem Bild ausführen.

binwalk logo_neu.jpg

Daraus ist ersichtlich, dass das Bild eine ZIP-Datei enthält.
Analyse02

Zum Extrahieren wird der Befehl “binwalk” um folgende Parameter erweitert.

binwalk --dd=zip:zip logo_neu.jpg

Daraufhin ist das Bild von der ZIP-Datei getrennt.
Analyse03

Anschließend noch die ZIP-Datei entpacken.

7z x nachricht.jpg.zip

Danach kann die geheime Botschaft angeschaut werden.
Analyse04

Teil 2: Erstellung (geheime Information verstecken)

Der erste Schritt ist, einen Text mit einem beliebigen Grafikprogramm zu erstellen und als Grafik zu speichern. Danach wird die Datei als ZIP-Datei gepackt.

7z a pack.zip bild_mit_nachricht.jpg

Mit dem Befehl “cat” wird ein weiteres willkürliches Bild und die ZIP-Datei zusammengefügt.

cat logo.jpg pack.zip > neu.jpg

Wenn das Bild “neu.jpg” betrachtet wird, fällt der getarnte Inhalt nicht auf.

Kategorie: IT Schlagwörter: , ,