前言

這個系列終於要進行到一半了，後面的介紹會開始以題目為主，並以題解的方式介紹工具和用到的技巧。

picoCTF - hideme

今天要介紹的是 picoCTF 的 medium 題 hideme，本題敘述如下。

Description
Every file gets a flag.
The SOC analyst saw one image been sent back and forth between two people. They decided to > investigate and found out that there was more than what meets the eye here.

這題的按讚比例有點低，我猜可能是因為有點太簡單，不過在開始解題前提個外話，既然題目有提到，就來解釋一下何謂 SOC analyst。

甚麼是 SOC analyst

SOC 的全名是 Security Operations Center，直翻的話是安全營運中心，所以 SOC analyst 就是安全營運中心的分析師，負責監控和保護組織的資產，並且預防、偵測、分析和回應網路安全事件。其工作主要包含

• 監控系統並偵測潛在的威脅
• 事件處理和調查
• 回應事故並隔離受害資產

所以像這題說的，SOC analyst 有可能發現可疑的圖檔並懷疑藏有資訊，因此進行是否有隱寫的檢測。

開始解題

首先打開題目給的照片，首先我們利用 file 查看發現該檔案是一個 png 檔，接下來使用 exiftool 檢查發現沒有甚麼可疑的 metadata。

因此接下來使用 binwalk 檢查裡面是否藏有甚麼檔案。

發現有個 secret/ 看起來很可疑，因此我們再進一步加上 -e 這個參數提取檔案。

可以看到有個 secret 資料夾

點進去有個 flag.png 就是本題的 flag

指令統整

1. file: 用來辨識檔案的檔案格式類型
2. exiftool: 讀取多媒體（如圖片、音訊、影片）的 metadata
3. binwalk: 分析並抽取二進位檔案中隱藏或附加的檔案系統及壓縮檔，以下是剛剛用到的常見參數

• -e / --extract: 自動提取檔案中偵測到的已知檔案類型（如壓縮包、圖片、文件等）。當懷疑一個檔案內部還藏有其他檔案（例如 CTF 題目常見的圖片夾帶 zip），用 -e 可以自動把這些檔案分離出來，方便後續分析。

小結

這題基本上就是普通的圖片隱寫，在圖片中隱藏著圖片。

本日飲血

今天是矢來美羽
這裡越來越多 galgame 了
真的不是故意的