まず使用したソフト、サイト
・青空白猫(青い空を見上げればいつもそこに白い猫)
・CyberChef
・WireShark
・RED
tag: Easy/Forensics/picoCTF 2025/browser_webshell_solvable
まずヒント
Hints1: The picture seems pure, but is it though?
→この写真は純粋に見えるが本当に? ⇒ 画面に何か隠されている…ステガノグラフィー
Hints2: Red?Ged?Bed?Aed?
→レッド?ゲッド?ベッド?エード? ⇒ RGB Aについて調べるのか。特にLSB。
Hints3: Check whatever Facebook is called now.
→フェイスブックが今何と呼ばれているか ⇒ [メタ]データを調べるか。
解いた手順
1、青空白猫を開き、ダウンロードした「red.png」を参照
2、「ステガノグラフィー解析」を選択
3、「ビット抽出」を選択
4、今回はLSBを調べたいため、「抽出対象ビット」をLSBのところのR、G、B、A、それぞれ選択
5、「バイナリデータ表示」を選択
6、とある文字列(base64)が見つかる
7、見つけた文字列(base64)をCyberChefで変換する
8、以上
調べた単語
・ステガノグラフィー …情報を画像や音声ファイルなどのデジタルデータに隠すこと
・メタデータ …データに関する情報(撮影日時・編集ソフトなど)
・LSB …最下位ビット、2進数表現の数値において、最小のビット
・base64 …バイナリデータを64進数で表現したテキスト。語尾に「==」がつくのでそれで見分ける
・Ph4nt0m 1ntrud3r
tag: Easy/Forensics/picoCTF 2025/browser_webshell_solvable
まずヒント
Hints1: Filter your packets to narrow down your search.
→パケットを絞り込んで検索して ⇒ フィルター使おう
Hints2: Attacks were done in timely manner.
→攻撃は短時間に集中して行う ⇒ 時間順にしたら連続してあやしいものがあるのかな
Hints3: Time is essential
→時間が重要 ⇒ パケットの発生時間を重点的にみる
解いた手順
1、WireSharkでダウンロードした「mynetworkTraffic.pcap」を開く
2、時間を「Time」で並べ替えて探す
3、一つ一つクリックしていったら、右下に語尾が「==」のものが見つかる
※検索窓から「frame contains “==”」と入力し検索することも可能
4、すべてのbase64をCyberChefで変換する
5、以上
コメント