• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

CTF Codeby Games - Животные и флаг [Writeup]

Kevgen

Green Team
04.08.2020
41
84
BIT
374

Всем привет!

Сегодня рассмотрим задание "Животные и флаг" от Codeby Games.

capybara.jpg

Видео разбора таска:


Текстовый разбор таска:
Распаковываем архив, видим несколько файлов, но насинтересует только capybara.png.

Сразу смотрим картинку в StegSolve. Щёлкая параметры отображения находим пароль от первого архива. Распаковываем, открываем.

Опять же видим несколько файлов: error.zip, maxwell.txt, maxwell.wav. Нас интересует аудио файл. Открываем в Audacity. Несколько раз слышим бинарный код... Ложный след! Понимаем, что потратили слишком много времени на расшифровку бинарной части :)
Поэтому включаем спектрограмму и делаем удаление вокала. Где-то в середине wav'ника нас ждёт пароль от архива error.zip.

В error.zip уже два файла: error.txt и error.png.

При открытии картинки получаем ошибку. Значит смотрим текстовик. Из него понятно что дело в "магических" байтах - байтах, которые находятся в самом начале файла. Открываем картинку в hex редакторе и гуглим "магические" байты для png. Сразу заметна разница, которую и исправляем.

Ещё раз открываем картинку, уже успешно. Прогоняем ее на , видим спрятанный в ней текст. Сохраняем. Ещё напрягает рамка из цветных пикселей сверху и справа картинки. Находим в Гугле, что это программирование цветом на языке Piet. Открываем онлайн дешифратор piet'а, импортируем нашу картинку. На вход программы ставим текст, который сохраняли на прошлом шаге. Запускаем, получаем флаг, сдаём.

Спасибо за прочтение!

Есть критика или пожелание - пишите! :)

P.S - Расшифровка Piet'а не на всех браузерах корректно работает, в частности не сработало FireFox и Brave (спасибо yetiraki =) )
 
Последнее редактирование:

ALT1RE

Green Team
11.10.2020
45
64
BIT
291
Что произошло на сайте aperisolve??? Прошу пояснить что за "прогон" произведен?? боюсь комментировать увиденное, надеюсь неверно понял...
 

Kevgen

Green Team
04.08.2020
41
84
BIT
374
Что произошло на сайте aperisolve??? Прошу пояснить что за "прогон" произведен?? боюсь комментировать увиденное, надеюсь неверно понял...
Здравствуйте!

Объясните, пожалуйста, что Вам показалось странным.
На сайте указано, что, цитирую: "это онлайн-платформа, которая выполняет анализ слоев изображения, а также использует zsteg, steghide и др. средства стеганографического анализа."
Прогон представлял собой загрузку картинки на вышеуказанный сайт и получение ответа в виде спрятанного в нем текста.

Спасибо за ответ!
Надеюсь, что верно объяснил :)
 
  • Нравится
Реакции: UnnamedUser

ALT1RE

Green Team
11.10.2020
45
64
BIT
291
Не помню есть ли стега в этом файле, но точно она не нужна для решения.
Вы используете строку которую ранее кто-то использовал в качестве пароля к возможно присутствующим скрытым данным.

aperisolve запоминает изображения и использованные к ним пароли. Много пользователей этого не понимают и создают утечки, которые могут помочь и сэкономить время.
Так в прикрепленном видео я использую для рандомной картинки (заведомо без стеги) пароль KevGen - в поле Common passwords появляется этот пароль. Далее для этой же картинки использую другой пароль и в поле Common passwords отображается как новый пароль, так и ранее использованный. Если вы в приложение загрузите эту картинку, то увидите мною ранее использованные пароли.
 

Вложения

  • IMG_1332.mp4
    9,4 МБ
Последнее редактирование:

Kevgen

Green Team
04.08.2020
41
84
BIT
374
Не помню есть ли стега в этом файле, но точно она не нужна для решения.
Вы используете строку которую ранее кто-то использовал в качестве пароля к возможно присутствующим скрытым данным.

aperisolve запоминает изображения и использованные к ним пароли. Много пользователей этого не понимают и создают утечки, которые могут помочь и сэкономить время.
Так в прикрепленном видео я использую для рандомной картинки (заведомо без стеги) пароль KevGen - в поле Common passwords появляется этот пароль. Далее для этой же картинки использую другой пароль и в поле Common passwords отображается как новый пароль, так и ранее использованный. Если вы в приложение загрузите эту картинку, то увидите мною ранее использованные пароли.
Благодарю Вас!
Таких подробностей не знал.
Учту в следующих райтапах :)
 
Последнее редактирование:

yetiraki

Green Team
07.02.2023
57
102
BIT
326
Спасибо за райтап и помощь.
Если что-то с piet не получается, нужно попробовать другой браузер (на FF и Brave не правильно картинка открывалась).
 
  • Нравится
Реакции: Kevgen

Kevgen

Green Team
04.08.2020
41
84
BIT
374
Спасибо за райтап и помощь.
Если что-то с piet не получается, нужно попробовать другой браузер (на FF и Brave не правильно картинка открывалась).
Вам спасибо за чтение и за такую информацию!) В райтап добавил.
 
20.01.2024
14
2
BIT
90
Я посмотрел, после получения картинки сразу в Piet и в поле инпут ничего не нужно вставлять

Там флаг всегда один и тот же

То есть CODEBY{что-то} без инпута == CODEBY{что-то} с инпутом
 
  • Нравится
Реакции: Kevgen
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!