picoCTF 2018 - Forensics Warmup
Forensics Warmup 1 – Points: 50 Đề bài yêu cầu giải nén file zip (unzip) để nhận flag. link file (flag.zip): https://drive.google.com/open?id=1wdcBAroWxe5F_FBR9xHrhmQL4p4rj8wp...
Forensics Warmup 1 – Points: 50
Đề bài yêu cầu giải nén file zip (unzip) để nhận flag.
link file (flag.zip): https://drive.google.com/open?id=1wdcBAroWxe5F_FBR9xHrhmQL4p4rj8wp
Đây chỉ là bài cho điểm :v
Hầu như giải nào cũng có một vài câu cho điểm như thế này. Nhưng mà câu cho điểm của pico quá dễ. Hầu như người nào biết về máy tính đều có thể làm được.
Giải nén ra mình sẽ nhận được 1 file ảnh (flag.jpg).
Forensics Warmup 2 – Points: 50
Đề bài: file PNG được cho không mở lên được. Bạn có cách nào giải quyết vấn đề này không ?
link file (flag.png): https://drive.google.com/open?id=1_BM5H3MsLXtwkMi4A2BKIYTnJqidTbY6
Mở file lên sẽ thấy báo lỗi không mở được file, file này không phải file png.
=> File này ban đầu không phải file png nhưng đã bị đổi đuôi file.
=> Dự đoán nếu đổi về định dạng gốc sẽ xem được ảnh chứa flag.
Ta có thể dễ dàng đổi được đuôi file bằng cách rename, nhưng bản chất file thì vẫn giữ nguyên. Vì thế khi mở file lên mới báo lỗi không mở được file.
Để biết được ban đầu file như nào ta có thể kiểm tra chuỗi hex của file. Người ta thường sử dụng một vài bit hex đầu để định dạng 1 file. Có 1 trang để mình xem được tư liệu về phần này. Google với từ khoá “list of signatures”, vào link wiki đầu tiên là được, link này khá đầy đủ.
Mở file bằng 1 phần mềm hex editor bất kỳ ta nhận được kết quả như sau:
Đến đây có 2 cách làm:
Cách 1: Tìm trong trang wiki 8 bit hex đầu tiên của file “FF D8 FF E0”. Thường một file sẽ dùng 8 bit hex đầu để định dạng file.
Cách 1: Tìm trong trang wiki 8 bit hex đầu tiên của file “FF D8 FF E0”. Thường một file sẽ dùng 8 bit hex đầu để định dạng file.
Cách 2: Nhìn sang cột bên phải, mình thấy được một loạt các ký tự chữ, dấu chấm,… Đó là dạng ASCII của các hex bên trái. Để ý có 4 ký tự đáng nghi “JFIF”. Nếu không biết về hex có thể thử search trên trang wiki với từ khoá “JFIF” cũng ra cùng kết quả.
Dễ thấy không chỉ 8 bit hex đầu mà có tận 24 bit hex đầu file trùng với kết quả tìm được, khả năng cao là đã đi đúng hướng. Nhìn sang cột File extension thấy đây là những bit hex đầu của file jpg/jpeg.
=> Ban đầu là file jpg/jpeg nhưng đã bị rename thành file png.
=> Rename lại thành jpg/jpeg sẽ xem được ảnh.
Submit flag này theo đúng format picoCTF{flag} sẽ được 50 điểm.
PS: Hình như windows có thể xem được ảnh luôn mà không bị báo lỗi. Ngoài ra một số cách khác cũng xem được luôn trên linux là kéo ảnh vào LibreOffice hoặc up lên Google Drive cũng xem được luôn.
Update: Cách của bạn Black Dragon (dưới phần comment): dùng lệnh file có thể biết được luôn đuôi file gốc.
Nếu bạn có cách nào khác hay bất cứ nhận xét gì, hãy cho mình biết ở phần comment nhé. Mình rất mong nhận được sự góp ý của mọi người.
iamabear
@iamabear
Khoa học - Công nghệ
/khoa-hoc-cong-nghe
Bài viết nổi bật khác
- Hot nhất
- Mới nhất