はまやんはまやんはまやん

hamayanhamayan's blog

c4ptur3-th3-fl4g 解説 (Writeup) [TryHackMe]

f:id:hamayanhamayan:20210522183119p:plain

一部を■で隠しています。

task 1: Translation & Shifting

基本的にはcyberchefのMagicで行ける。
どういうデコード方法かも分かるので勉強になる。
cyberchefのMagicで行けなかったものを解説する。

  • c4n y0u c4p7u23 7h3 f149?
    • これはアルファベットを似た数字や記号で置き換える変換方法 can you capture the flag?と読める
  • Ebgngr zr 13 cynprf!
    • なんとなくRot13な感じがするので、cyberchefのROT13を噛ませると答えになる
  • *@F DA:? >6 C:89E C@F?5 323J C:89E C@F?5 Wcf E:>6DX
    • 答えと同じ文字数になるので文字数が変わらないような変換だと推測できる。xor, rotあたりを試すとROT47で復号できる
  • - . .-.. . -.-. --- -- -- ..- -. .. -.-. .- - .. --- -. . -. -.-. --- -.. .. -. --.
    • モールス信号っぽいので、それで復号する
  • LS0tLS0gLi0tLS0gLi0tLS0gLS0tLS0gLS0tLS0gL ....
    • とりあえずMagicに書けると、base64 -> MorseCode -> Binaryまで提案してくれる
    • fe``e bh ``d bah hf _fba ``ec _d ``d ba hf ba hg_d e bae c `_d hh `_f `_d `_`c ce ce ce`
    • これがわけわからないが、同じような文字が多く使用されている印象を受ける。なので、同じ文字はとある同じ文字に写像変換されるような暗号方式だろうと推測して、単純なものから試していくとROT47でそれっぽいものが出てくる
    • 76 101 116 39 115 32 109 97 107 101 32 116 104 105 115 32 97 32 98 105 116 32 116 114 105 99 107 105 101 114 46 46 46
    • 後は適当にMagicすればいい

Task 2: Spectrograms

Sonic Visualiserでスペクトログラム画像を見てみると書いてある。

f:id:hamayanhamayan:20210522194510p:plain

Task 3: Steganography

自分が知っているツールを試していくとsteghideで解析できることが分かった。

$ steghide extract -sf stegosteg.jpg 
Enter passphrase: 
wrote extracted data to "steganopayload2248.txt".
$ cat steganopayload2248.txt 
■■■■■■■■■■■■

Task 4: Security through obscurity

隠匿によるセキュリティね…
フォレンジックテクを色々やってみる。

$ binwalk meme.jpg

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01
30            0x1E            TIFF image data, big-endian, offset of first image directory: 8
74407         0x122A7         RAR archive data, version 5.x
74478         0x122EE         PNG image, 147 x 37, 8-bit/color RGBA, non-interlaced
74629         0x12385         Zlib compressed data, default compression

ほう。適当に抜き出してみてもうまくいかないので、バイナリエディタで周辺を見てみる。

f:id:hamayanhamayan:20210522200003p:plain

答えっぽいのが見えますね。実は2番目の答えもバイナリエディタから見えてしまう。

f:id:hamayanhamayan:20210522200235p:plain

想定解ではないと思うが…