Текст задания:
asis_letter_zip [5.95 МБ]
Качаем файл из задания, разархивируем (два раза) и видим, что перед нами два изображения (узнали мы это открыв оба файла в текстовом редакторе: у одного в начале было JFIF
, а у другого ‰PNG
). Дописываем разрешение к каждому файлу, открываем и не видим ничего интересного.
Посмотрим вывод утилиты binwalk:
$ binwalk a.jpg
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 JPEG image data, JFIF standard 1.01
30 0x1E TIFF image data, big-endian, offset of first image directory: 8
56 0x38 Zlib compressed data, default compression
На первый взгляд ничего особенного, попробуем извлечь файлы снова используя binwalk с параметром e:
$ binwalk -e a.jpg
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 JPEG image data, JFIF standard 1.01
30 0x1E TIFF image data, big-endian, offset of first image directory: 8
56 0x38 Zlib compressed data, default compression
Binwalk создал папку с извлеченными файлами:
$ ls_a.jpg.extracted/
38 38.zlib
Внимательно изучив файл 38.zlib — замечаем, что используется дважды закодированная алгоритмом base64 строка:
$ cat 38 | base64 -d | base64 -d
💌 from ASIS with love, please find secret message and reply soon, powered by 👉 Stéganô 👈⏎
То, что надо! Видим подсказку — Stéganô — это
Попробуем извлечь что-либо из png используя stegano. Методом проб и ошибок флаг был найден с параметрами stegano-lsb-set и triangular_numbers:
$ Stegano/bin/stegano-lsb-set reveal -i e07d17ed7d8104590ff3e17bdf052057.png -g triangular_numbers
ASIS{767ba85340d9e49fa0bb9c2b12037f08}
ASIS{767ba85340d9e49fa0bb9c2b12037f08}