CTF Codeby Games - Животные и флаг [Writeup]

Kevgen

Green Team
04.08.2020
41
85
BIT
405

Всем привет!

Сегодня рассмотрим задание "Животные и флаг" от Codeby Games.

capybara.jpg

Видео разбора таска:


Текстовый разбор таска:
Распаковываем архив, видим несколько файлов, но насинтересует только capybara.png.

Сразу смотрим картинку в StegSolve. Щёлкая параметры отображения находим пароль от первого архива. Распаковываем, открываем.

Опять же видим несколько файлов: error.zip, maxwell.txt, maxwell.wav. Нас интересует аудио файл. Открываем в Audacity. Несколько раз слышим бинарный код... Ложный след! Понимаем, что потратили слишком много времени на расшифровку бинарной части :)
Поэтому включаем спектрограмму и делаем удаление вокала. Где-то в середине wav'ника нас ждёт пароль от архива error.zip.

В error.zip уже два файла: error.txt и error.png.

При открытии картинки получаем ошибку. Значит смотрим текстовик. Из него понятно что дело в "магических" байтах - байтах, которые находятся в самом начале файла. Открываем картинку в hex редакторе и гуглим "магические" байты для png. Сразу заметна разница, которую и исправляем.

Ещё раз открываем картинку, уже успешно. Прогоняем ее на , видим спрятанный в ней текст. Сохраняем. Ещё напрягает рамка из цветных пикселей сверху и справа картинки. Находим в Гугле, что это программирование цветом на языке Piet. Открываем онлайн дешифратор piet'а, импортируем нашу картинку. На вход программы ставим текст, который сохраняли на прошлом шаге. Запускаем, получаем флаг, сдаём.

Спасибо за прочтение!

Есть критика или пожелание - пишите! :)

P.S - Расшифровка Piet'а не на всех браузерах корректно работает, в частности не сработало FireFox и Brave (спасибо yetiraki =) )
 
Последнее редактирование:
Что произошло на сайте aperisolve??? Прошу пояснить что за "прогон" произведен?? боюсь комментировать увиденное, надеюсь неверно понял...
 
Что произошло на сайте aperisolve??? Прошу пояснить что за "прогон" произведен?? боюсь комментировать увиденное, надеюсь неверно понял...
Здравствуйте!

Объясните, пожалуйста, что Вам показалось странным.
На сайте указано, что, цитирую: "это онлайн-платформа, которая выполняет анализ слоев изображения, а также использует zsteg, steghide и др. средства стеганографического анализа."
Прогон представлял собой загрузку картинки на вышеуказанный сайт и получение ответа в виде спрятанного в нем текста.

Спасибо за ответ!
Надеюсь, что верно объяснил :)
 
  • Нравится
Реакции: UnnamedUser
Не помню есть ли стега в этом файле, но точно она не нужна для решения.
Вы используете строку которую ранее кто-то использовал в качестве пароля к возможно присутствующим скрытым данным.

aperisolve запоминает изображения и использованные к ним пароли. Много пользователей этого не понимают и создают утечки, которые могут помочь и сэкономить время.
Так в прикрепленном видео я использую для рандомной картинки (заведомо без стеги) пароль KevGen - в поле Common passwords появляется этот пароль. Далее для этой же картинки использую другой пароль и в поле Common passwords отображается как новый пароль, так и ранее использованный. Если вы в приложение загрузите эту картинку, то увидите мною ранее использованные пароли.
 

Вложения

  • IMG_1332.mp4
    9,4 МБ
Последнее редактирование:
Не помню есть ли стега в этом файле, но точно она не нужна для решения.
Вы используете строку которую ранее кто-то использовал в качестве пароля к возможно присутствующим скрытым данным.

aperisolve запоминает изображения и использованные к ним пароли. Много пользователей этого не понимают и создают утечки, которые могут помочь и сэкономить время.
Так в прикрепленном видео я использую для рандомной картинки (заведомо без стеги) пароль KevGen - в поле Common passwords появляется этот пароль. Далее для этой же картинки использую другой пароль и в поле Common passwords отображается как новый пароль, так и ранее использованный. Если вы в приложение загрузите эту картинку, то увидите мною ранее использованные пароли.
Благодарю Вас!
Таких подробностей не знал.
Учту в следующих райтапах :)
 
Последнее редактирование:
Спасибо за райтап и помощь.
Если что-то с piet не получается, нужно попробовать другой браузер (на FF и Brave не правильно картинка открывалась).
 
  • Нравится
Реакции: Kevgen
Спасибо за райтап и помощь.
Если что-то с piet не получается, нужно попробовать другой браузер (на FF и Brave не правильно картинка открывалась).
Вам спасибо за чтение и за такую информацию!) В райтап добавил.
 
Я посмотрел, после получения картинки сразу в Piet и в поле инпут ничего не нужно вставлять

Там флаг всегда один и тот же

То есть CODEBY{что-то} без инпута == CODEBY{что-то} с инпутом
 
  • Нравится
Реакции: Kevgen
Застрял на этапе удаление вокала, в новой версии audacity не могу найти такого пункта, может кто подскажет, куда его перенесли?
1726518917067.png
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!