這個系列終於要進行到一半了,後面的介紹會開始以題目為主,並以題解的方式介紹工具和用到的技巧。
今天要介紹的是 picoCTF 的 medium 題 hideme
,本題敘述如下。
Description
Every file gets a flag.
The SOC analyst saw one image been sent back and forth between two people. They decided to > investigate and found out that there was more than what meets the eye here.
這題的按讚比例有點低,我猜可能是因為有點太簡單,不過在開始解題前提個外話,既然題目有提到,就來解釋一下何謂 SOC analyst。
SOC 的全名是 Security Operations Center,直翻的話是安全營運中心,所以 SOC analyst 就是安全營運中心的分析師,負責監控和保護組織的資產,並且預防、偵測、分析和回應網路安全事件。其工作主要包含
所以像這題說的,SOC analyst 有可能發現可疑的圖檔並懷疑藏有資訊,因此進行是否有隱寫的檢測。
首先打開題目給的照片,首先我們利用 file
查看發現該檔案是一個 png 檔,接下來使用 exiftool
檢查發現沒有甚麼可疑的 metadata。
因此接下來使用 binwalk
檢查裡面是否藏有甚麼檔案。
發現有個 secret/
看起來很可疑,因此我們再進一步加上 -e
這個參數提取檔案。
可以看到有個 secret 資料夾
點進去有個 flag.png 就是本題的 flag
file
: 用來辨識檔案的檔案格式類型exiftool
: 讀取多媒體(如圖片、音訊、影片)的 metadatabinwalk
: 分析並抽取二進位檔案中隱藏或附加的檔案系統及壓縮檔,以下是剛剛用到的常見參數-e / --extract
: 自動提取檔案中偵測到的已知檔案類型(如壓縮包、圖片、文件等)。當懷疑一個檔案內部還藏有其他檔案(例如 CTF 題目常見的圖片夾帶 zip),用 -e 可以自動把這些檔案分離出來,方便後續分析。這題基本上就是普通的圖片隱寫,在圖片中隱藏著圖片。
今天是矢來美羽這裡越來越多 galgame 了真的不是故意的