picoCTF2019のForensics問題のWriteUPを書く。

Forensics

Glory of the Garden (50pt)
unzip (50pt)
So Meta (150pt)
extensions (150pt)
What Lies Within (150pt)
shark on wire 1 (150pt)

Glory of the Garden (50pt)

庭の絵が書いてあるjpgファイルが渡される。
この中にフラグがあるが、ビューワーで開いても、fileコマンドや binwalkでも特に怪しくないので、stringsで取り出したらあった。

~/Downloads $ strings garden.jpg  | grep picoCTF
Here is a flag "picoCTF{more_than_m33ts_the_3y3f089EdF0}"

unzip (50pt)

flag.zipを解凍するだけ。中にflag.pngが出てくるので、それを開くと手書きでフラグがあった。

~/Downloads $ unzip flag.zip 
Archive:  flag.zip
  inflating: flag.png

picoCTF{unz1pp1ng_1s_3a5y}

So Meta (150pt)

picoCTFのロゴのpngが渡される。特に開いてもfileコマンドで見ても
何もなさそうなので、exiftoolでexif情報を見るとArtist欄にフラグ発見

~/Downloads $ exiftool pico_img.png 
ExifTool Version Number         : 11.59
File Name                       : pico_img.png
Directory                       : .
File Size                       : 106 kB
File Modification Date/Time     : 2019:10:19 17:35:36+09:00
File Access Date/Time           : 2019:10:19 17:35:46+09:00
File Inode Change Date/Time     : 2019:10:19 17:35:39+09:00
File Permissions                : rw-r--r--
File Type                       : PNG
File Type Extension             : png
MIME Type                       : image/png
Image Width                     : 600
Image Height                    : 600
Bit Depth                       : 8
Color Type                      : RGB
Compression                     : Deflate/Inflate
Filter                          : Adaptive
Interlace                       : Noninterlaced
Software                        : Adobe ImageReady
XMP Toolkit                     : Adobe XMP Core 5.3-c011 66.145661, 2012/02/06-14:56:27
Creator Tool                    : Adobe Photoshop CS6 (Windows)
Instance ID                     : xmp.iid:A5566E73B2B811E8BC7F9A4303DF1F9B
Document ID                     : xmp.did:A5566E74B2B811E8BC7F9A4303DF1F9B
Derived From Instance ID        : xmp.iid:A5566E71B2B811E8BC7F9A4303DF1F9B
Derived From Document ID        : xmp.did:A5566E72B2B811E8BC7F9A4303DF1F9B
Artist                          : picoCTF{s0_m3ta_3d6ced35}
Image Size                      : 600x600
Megapixels                      : 0.360

extensions (150pt)

flag.txtを渡されるがテキストエディタで開けない。
このファイルにフラグがある模様。
まずはファイルの種類を確認

~/Downloads $ file flag.txt 
flag.txt: PNG image data, 1697 x 608, 8-bit/color RGB, non-interlaced

pngだったので拡張子を直して保存し、画像を開くとフラグが書いてあった。 picoCTF{now_you_know_about_extensions}

What Lies Within (150pt)

町並みの画像が渡される。exiftoolで見ても引っかからず、
ステガノ系オンラインツールもいじってみたけど特に何もないので、
検索するとzstegというものを発見。
rubyさえあれば使えるそうなので、早速gemコマンドでインストールし、実行。

~/Downloads $ zsteg buildings.png 
b1,r,lsb,xy         .. text: "^5>R5YZrG"
b1,rgb,lsb,xy       .. text: "picoCTF{h1d1ng_1n_th3_b1t5}"
b1,abgr,msb,xy      .. file: PGP Secret Sub-key -
b2,b,lsb,xy         .. text: "XuH}p#8Iy="
b3,abgr,msb,xy      .. text: "t@Wp-_tH_v\r"
b4,r,lsb,xy         .. text: "fdD\"\"\"\" "
b4,r,msb,xy         .. text: "%Q#gpSv0c05"
b4,g,lsb,xy         .. text: "fDfffDD\"\""
b4,g,msb,xy         .. text: "f\"fff\"\"DD"
b4,b,lsb,xy         .. text: "\"$BDDDDf"
b4,b,msb,xy         .. text: "wwBDDDfUU53w"
b4,rgb,msb,xy       .. text: "dUcv%F#A`"
b4,bgr,msb,xy       .. text: " V\"c7Ga4"
b4,abgr,msb,xy      .. text: "gOC_$_@o"