picoCTF2019 Forensics WriteUP
picoCTF2019のForensics問題のWriteUPを書く。
Forensics
- Glory of the Garden (50pt)
- unzip (50pt)
- So Meta (150pt)
- extensions (150pt)
- What Lies Within (150pt)
- shark on wire 1 (150pt)
Glory of the Garden (50pt)
庭の絵が書いてあるjpgファイルが渡される。
この中にフラグがあるが、ビューワーで開いても、fileコマンドや
binwalkでも特に怪しくないので、stringsで取り出したらあった。
~/Downloads $ strings garden.jpg | grep picoCTF Here is a flag "picoCTF{more_than_m33ts_the_3y3f089EdF0}"
unzip (50pt)
flag.zipを解凍するだけ。中にflag.pngが出てくるので、 それを開くと手書きでフラグがあった。
~/Downloads $ unzip flag.zip Archive: flag.zip inflating: flag.png
picoCTF{unz1pp1ng_1s_3a5y}
So Meta (150pt)
picoCTFのロゴのpngが渡される。特に開いてもfileコマンドで見ても
何もなさそうなので、exiftoolでexif情報を見るとArtist欄にフラグ発見
~/Downloads $ exiftool pico_img.png ExifTool Version Number : 11.59 File Name : pico_img.png Directory : . File Size : 106 kB File Modification Date/Time : 2019:10:19 17:35:36+09:00 File Access Date/Time : 2019:10:19 17:35:46+09:00 File Inode Change Date/Time : 2019:10:19 17:35:39+09:00 File Permissions : rw-r--r-- File Type : PNG File Type Extension : png MIME Type : image/png Image Width : 600 Image Height : 600 Bit Depth : 8 Color Type : RGB Compression : Deflate/Inflate Filter : Adaptive Interlace : Noninterlaced Software : Adobe ImageReady XMP Toolkit : Adobe XMP Core 5.3-c011 66.145661, 2012/02/06-14:56:27 Creator Tool : Adobe Photoshop CS6 (Windows) Instance ID : xmp.iid:A5566E73B2B811E8BC7F9A4303DF1F9B Document ID : xmp.did:A5566E74B2B811E8BC7F9A4303DF1F9B Derived From Instance ID : xmp.iid:A5566E71B2B811E8BC7F9A4303DF1F9B Derived From Document ID : xmp.did:A5566E72B2B811E8BC7F9A4303DF1F9B Artist : picoCTF{s0_m3ta_3d6ced35} Image Size : 600x600 Megapixels : 0.360
extensions (150pt)
flag.txtを渡されるがテキストエディタで開けない。
このファイルにフラグがある模様。
まずはファイルの種類を確認
~/Downloads $ file flag.txt flag.txt: PNG image data, 1697 x 608, 8-bit/color RGB, non-interlaced
pngだったので拡張子を直して保存し、画像を開くとフラグが書いてあった。 picoCTF{now_you_know_about_extensions}
What Lies Within (150pt)
町並みの画像が渡される。exiftoolで見ても引っかからず、
ステガノ系オンラインツールもいじってみたけど特に何もないので、
検索するとzstegというものを発見。
rubyさえあれば使えるそうなので、早速gemコマンドでインストールし、実行。
~/Downloads $ zsteg buildings.png b1,r,lsb,xy .. text: "^5>R5YZrG" b1,rgb,lsb,xy .. text: "picoCTF{h1d1ng_1n_th3_b1t5}" b1,abgr,msb,xy .. file: PGP Secret Sub-key - b2,b,lsb,xy .. text: "XuH}p#8Iy=" b3,abgr,msb,xy .. text: "t@Wp-_tH_v\r" b4,r,lsb,xy .. text: "fdD\"\"\"\" " b4,r,msb,xy .. text: "%Q#gpSv0c05" b4,g,lsb,xy .. text: "fDfffDD\"\"" b4,g,msb,xy .. text: "f\"fff\"\"DD" b4,b,lsb,xy .. text: "\"$BDDDDf" b4,b,msb,xy .. text: "wwBDDDfUU53w" b4,rgb,msb,xy .. text: "dUcv%F#A`" b4,bgr,msb,xy .. text: " V\"c7Ga4" b4,abgr,msb,xy .. text: "gOC_$_@o"
shark on wire 1 (150pt)
渡されたパケットキャプチャファイルからフラグを探す。やけにUDPが多い。
UDPストリームを適当にかけつつ、 eq
の後の数字を変えてFollow→UDP Streamを選択。
eq 6
の時にフラグが見つかった。
ついでに eq 7
の時は偽物。全く芸が細かいなもう。