Forensics

UUT CTF writeup Layers

Layers

50

Layers are here.

stringsコマンドでファイル中の文字列を調べます。
$ strings Layers.jpg | grep uutctf
" id="W5M0MpCehiHzreSzNTczkc9d"?> <x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.6-c067 79.157747, 2015/03/30-23:40:42        "> <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"> <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/" xmlns:stEvt="http://ns.adobe.com/xap/1.0/sType/ResourceEvent#" xmlns:photoshop="http://ns.adobe.com/photoshop/1.0/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmp:CreatorTool="Adobe Photoshop CC 2015 (Windows)" xmp:CreateDate="2019-04-24T19:13:26+04:30" xmp:MetadataDate="2019-04-24T19:13:26+04:30" xmp:ModifyDate="2019-04-24T19:13:26+04:30" xmpMM:InstanceID="xmp.iid:6e14b5a5-6194-4e4a-b78e-f71bbb92395f" xmpMM:DocumentID="adobe:docid:photoshop:39915134-669f-11e9-8555-e8884e2d43b9" xmpMM:OriginalDocumentID="xmp.did:e3606230-6b16-8a49-975e-c9718a22e944" photoshop:ColorMode="3" photoshop:ICCProfile="sRGB IEC61966-2.1" dc:format="image/jpeg"> <xmpMM:History> <rdf:Seq> <rdf:li stEvt:action="created" stEvt:instanceID="xmp.iid:e3606230-6b16-8a49-975e-c9718a22e944" stEvt:when="2019-04-24T19:13:26+04:30" stEvt:softwareAgent="Adobe Photoshop CC 2015 (Windows)"/> <rdf:li stEvt:action="saved" stEvt:instanceID="xmp.iid:6e14b5a5-6194-4e4a-b78e-f71bbb92395f" stEvt:when="2019-04-24T19:13:26+04:30" stEvt:softwareAgent="Adobe Photoshop CC 2015 (Windows)" stEvt:changed="/"/> </rdf:Seq> </xmpMM:History> <photoshop:TextLayers> <rdf:Bag> <rdf:li photoshop:LayerName="uutctf{can_you_see_me}" photoshop:LayerText="uutctf{can_you_see_me}"/> </rdf:Bag>
フラグは、
uutctf{can_you_see_me}
です。

コマンドで覚えるLinux
一戸 英男
ソシム
2016-10-12


SwampCTF 2019 writeup Neo

Neo

50

We hacked one of EvilCorps sentries and found something interesting. A single picture, we're not sure what to do with this but we know this sentry was fond of his abilities to hide things in plain site.

-= Challenge by P4PA_0V3RL0RD =-

stringsコマンドでファイル中の文字列を確認します。
$ strings red_pill.jpeg | grep flag
flag{f011ow_th3_wh1t3_rabb17}
フラグは、
flag{f011ow_th3_wh1t3_rabb17}
です。

Linux本格入門(仮)
大竹龍史
SBクリエイティブ
2019-05-30


SwampCTF 2019 writeup Leap of Faith

Leap of Faith

50

“You have to let it all go, Neo. Fear, doubt, and disbelief. Free your mind (and your stego tools).” - Morpheus, probably

-= Challenge by P4PA_0V3RL0RD =-

jpegファイルをバイナリエディタで開いて、FFD8タグを2つ取り除いて保存すると次の画像になります。

aaa

フラグは、
flag{FR33_Y0UR_M1ND}
です。

UTCTF writeup [basics] forensics

[basics] forensics

100

My friend said they hid a flag in this picture, but it's broken!

by balex

拡張子がjpgとなっていますがテキストデータでフラグが記載されています。
フラグは、
utflag{d0nt_tru5t_f1l3_3xt3ns10n5}
です。



UTCTF writeup Low Sodium Bagel

Low Sodium Bagel

300

I brought you a bagel, see if you can find the secret ingredient.

by balex

steghideコマンドで埋め込まれたファイルを抽出してみます。パスフレーズは何も入力せずEnterとします。
$ steghide extract -sf low-sodium-bagel.jpeg 
Enter passphrase: 
wrote extracted data to "steganopayload4837.txt".
抽出されたファイルにフラグが記載されています。
フラグは、
utflag{b1u3b3rry_b4g3ls_4r3_th3_b3st}
です。



Pragyan CTF 2019 writeup Welcome

Welcome

50

Do you think this is a normal image? No! Dig deeper to find out more.....

ダウンロードしたjpegファイルをバイナリエディタで確認すると、JPEGの終了マーカー(FF D9)の後ろにzipデータが付いています。zipデータを抽出して解凍するとd.zipファイルができます。さらに解凍するとa.zipとsecret.bmpファイルができます。
secret.bmpの最後にbase64のエンコード文字列があります。
dGhlIHBhc3NdGhlIHBhc3N3b3JkIGlzOiBoMzExMF90aDNyMyE=
base64でデコードすると次の文字列になります。
the password is: h3110_th3r3!
a.zipファイルを上記のパスワードで解凍するとa.pngファイルができます。imageJで開いて[Image]-[Adjust]-[Color Balance]で調整すると下図の画像ができます。

bbb

フラグは、
pctf{st3gs0lv3_1s_u53ful}
です。

インシデントレスポンス 第3版
Jason T. Luttgens
日経BP社
2016-04-07


Quals: Saudi and Oman National Cyber Security CTF writeup Try to see me

Category:Digital Forensics
Level:medium
Points:100

Points

you`ll need your glasses or good pair of eyes and some brainzzz.




fileコマンドでファイルタイプを確認します。単なるデータのようです。
$ file final 
final: data
バイナリエディタでファイルを開き、先頭の2バイト(00 00)をBM(42 4D)に書き換えます。ビットマップファイルとして認識されます。画像の右側にうっすらと文字が見えます。

final

ImageJで開いて、[Color]-[Split Channels]を選択します。blueのファイルが見えやすいです。

final.bmp (blue)

画像に書かれている文字列は次のとおりです。
3c034c8ecf5121fc23612ef9d71756b0
この文字列をsubmitしてみますがフラグではないようです。
steghideコマンドを試してみます。
$ steghide --extract -sf final.bmp -p 3c034c8ecf5121fc23612ef9d71756b0 -xf aaa.txt
wrote extracted data to "aaa.txt".
抽出したテキストファイルに記載されている文字列をsubmitしてみるとフラグでした。
フラグは、
d78e573bcae3899be1751e414c17b84c
です。

コンピューター&amp;テクノロジー解体新書
ロン・ホワイト
SBクリエイティブ
2015-09-19


Quals: Saudi and Oman National Cyber Security CTF writeup Hack a nice day

Category:Digital Forensics
Level:medium
Points:100

Points

can you get the flag out to hack a nice day. Note: Flag format flag{XXXXXXX}


fileコマンドでファイルタイプを確認します。普通のJPEGファイルでコメントにbadisbadと記載されています。submitしてみますがこれはフラグではないようです。また、画像ファイルをバイナリエディタで見ても特にフラグらしきものはありません。
$ file info.jpg 
info.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, comment: "badisbad", baseline, precision 8, 194x259, frames 3
次にsteghideツールを使ってみます。パスフレーズにjpegファイルのコメントを入力します。
$ steghide extract -sf info.jpg
Enter passphrase: badisbad
wrote extracted data to "flaggg.txt".
ファイルが抽出されました。
フラグは、
flag{Stegn0_1s_n!ce}

Quals: Saudi and Oman National Cyber Security CTF writeup I love images

Category:Digital Forensics
Level:easy
Points:50

Points

A hacker left us something that allows us to track him in this image, can you find it?

ダウンロードしたPNG画像をバイナリエディタで開きます。IENDチャンクの後ろにBASE64でエンコードしたような文字列がくっついています。
IZGECR33JZXXIX2PNZWHSX2CMFZWKNRUPU======
これをbase32でデコードするとフラグが得られます。
フラグは、
FLAG{Not_Only_Base64}
です。

Go言語によるWebアプリケーション開発
Mat Ryer
オライリージャパン
2016-01-22


InCTF writeup EasyOne

EasyOne

50

I have the flag mate but I don't know the password to read it. Can you crack it?

Link to the Challenge



flag.zipファイルにはパスワードがかかっています。
もうひとつのファイルchal.imgをfileコマンドで確認します。ファイルシステムです。
$ file chal.img 
chal.img: x86 boot sector
次にstringsコマンドで文字列を確認します。wavファイルがありそうです。
$ strings chal.img
(略)
RIFF
WAVEfmt 
(略)
該当箇所をバイナリエディタで確認してみます。RIFFの次の4バイトがデータサイズになります。データサイズはリトルエンディアンなので0x0005D084=381060byteになります。
 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF 
------------------------------------------------------------------------------
 00109000  52 49 46 46 84 D0 05 00 57 41 56 45 66 6D 74 20   RIFF��..WAVEfmt  
したがって、0x109000~0x16608bまでをコピーして別ファイルとして保存します。そのファイルをAudacityで開いてスペクトログラムを表示すると下図のように文字列が隠されていることが分かります。

1

この文字列(thisisthepasswordtoolongtobruteforce)でflag.zipファイルを解凍するとflag.txtファイルができます。このファイルにフラグが記載されています。
フラグは、
inctf{th1s_1s_pr3tty_3asy_w4rmup}
記事検索
ギャラリー
  • TetCTF 2023 NewYearBot
  • UUT CTF writeup Find The Password
  • UUT CTF writeup The Puzzle
  • Hack Zone Tunisia 2019 writeup Microscope
  • Hack Zone Tunisia 2019 writeup Welcome
  • SwampCTF 2019 writeup Brokerboard
  • SwampCTF 2019 writeup Leap of Faith
  • SwampCTF 2019 writeup Last Transmission
  • CBM CTF 2019 writeup Long road
カテゴリー