information - HackMD

--- tags: CTF_Writeups, picoCTF, Forensics --- # information * 提示這題並沒有給什麼有用的提示，只是告訴我們好好看圖片的細節。 * 解法 1. 一開始我先仔細看圖片本身有沒有什麼圖案或文字跟 flag 有相關，我注意到圖中的電腦有許多程式碼，但似乎是無用資訊。 2. 再來是使用 cat 命令，直接暴力打開，大略看了一輪後，也沒有明顯的 flag 文字等，用 strings 命令篩出可見的文字也是沒有可用資訊。 3. 圖片檔案格式是 jpeg ，沒辦法使用 zsteg 工具分析。 > zsteg 可以找出以各種 image steganography (影像隱寫術) 隱藏的資料，如 LSB 隱寫術以及各種將資訊藏匿在圖像中的技術。[Github: zsteg](https://github.com/zed-0xff/zsteg) 4. 利用 xxd 命令以十六進位表示出整張圖片的資料，可以發現檔案開頭是 0xffd8 (SOI, start of image) ，結尾是 0xffd9 (EOI, end of image) ，應該沒有在尾端插入多餘資料。 :::warning 嚴謹點來說，如果怕「圖中圖」，也就是 SOI SOI EOI EOI 這樣的結構，應該寫程式檢查整個檔案中有沒有多餘的 SOI 和 EOI ::: 5. 用 exiftool 工具檢查圖片檔頭的 EXIF： > 1. EXIF 就是在 JPEG 圖片檔的檔頭加上的一些拍攝相關參數。 > <u>[維基: EXIF](https://zh.wikipedia.org/wiki/Exif)</u> > 2. exiftool 是可以看各種多媒體檔案標頭資訊的一款工具， > 當然也包括 EXIF 本身。 > <u>[exiftool](https://exiftool.org/)</u> ``` ExifTool Version Number : 11.88 File Name : cat.jpg Directory : . File Size : 858 kB File Modification Date/Time : 2021:09:15 14:57:12+08:00 File Access Date/Time : 2021:09:15 15:00:46+08:00 File Inode Change Date/Time : 2021:09:15 14:57:39+08:00 File Permissions : rw-rw-r-- File Type : JPEG File Type Extension : jpg MIME Type : image/jpeg JFIF Version : 1.02 Resolution Unit : None X Resolution : 1 Y Resolution : 1 Current IPTC Digest : 7a78f3d9cfb1ce42ab5a3aa30573d617 Copyright Notice : PicoCTF Application Record Version : 4 XMP Toolkit : Image::ExifTool 10.80 License : cGljb0NURnt0aGVfbTN0YWRhdGFfMXNfbW9kaWZpZWR9 Rights : PicoCTF Image Width : 2560 Image Height : 1598 Encoding Process : Baseline DCT, Huffman coding Bits Per Sample : 8 Color Components : 3 Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2) Image Size : 2560x1598 Megapixels : 4.1 ``` 6. 觀察到資料中有兩行「亂碼」，分別是 **Current IPTC Digest** 與 **License** ，試著用 base64 來解碼： - 7a78f3d9cfb1ce42ab5a3aa30573d617 ```shell $ echo '7a78f3d9cfb1ce42ab5a3aa30573d617' | base64 -d ``` 解碼後： `��w}q��q�6i�Zݦ�Ӟ�w�{` - cGljb0NURnt0aGVfbTN0YWRhdGFfMXNfbW9kaWZpZWR9 ```shell $ echo 'cGljb0NURnt0aGVfbTN0YWRhdGFfMXNfbW9kaWZpZWR9' | base64 -d ``` 解碼後： `picoCTF{the_m3tadata_1s_modified}` 7. 找到 flag : **picoCTF{the_m3tadata_1s_modified}**