25
Mar
2019

EZ Writeup PNG Stego Çözümü

Securinet CTF’inin ikinci ve son MISC kategorisindeki sorusu. Soruda bir adet PNG dosyası geliyor. MISC olduğu için stego sorusu olacak diye bir kaide yoktu ancak stego olarak yaklaştım soruya. Steganografi sorularını çok seviyorum ayrıca:)

EZ
538
Welcome to Securinets, this one is an easy one.
Please make sure you hash the WORD with sha1 (lowercase hash letter)
Pic Link
Author:BlueWhale

Soruda her ne kadar kolay olduğu söylense de yerli ctflere göre ortalamanın üstünde bir soru olduğunu söyleyebilirim. Zaten puanından anlayacağınız üzere çok fazla çözülmemişti. İlk olarak gelen png dosyasını açtım.

Dosyanın görüntüsünden yola çıkarak stego olduğunu değerlendirdim. (Bazen google image search tarzı sorularla bir şey bulmamızı da isteyebiliyorlar.)

Stego olduğunu anladıktan sonra sırasıyla file komutu ile dosya tipini kontrol ettim. Daha sonra binwalk ile içine gömülü başka bir şey olup olmadığını kontrol ettim. Sonra da exiftool ile bilgilerini inceledim. Bir şey yoktu. Stegsolve ile de son bir kontrol yaptıktan sonra cheat sheetlerimi çıkardım.

PNG dosyaları için elimde bir key vb. ipucu da olmadığı için zsteg toolunu kullanmam gerektiğini düşündüm.

Önce zsteg’in -a fonksiyonu ile bütün her şeyi taradım. Steganografide en temel yöntemlerden olan LSB(least significant byte) kısmında bir şey olduğunu tespit ettim. Ancak start ile başlıyordu ve sanki yarıda kesiliyordu. Ayrıca dikkat çeken bir şey yoktu. Yarım bir paragraf vardı sanki. Bunun üzerine zsteg’in help fonksiyonunu kullanarak ne marifetleri varmış bu kardeşimizin bir görelim dedim.

zsteg’in -l diye bir parametresi olduğunu gördüm. Belki bununla alakalı bir şey olabileceğini düşünerek zsteg -l –lsb pic.png komutunu yazdım. Ve BİNGO!

zsteg kullanımı

Evet start ile başlayıp end ile biten bir paragraf vardı. İçinde de <DETELED_WORD> diye bir şey vardı. Açıkcası deteled ne demek bilmediğim için önce turengden bu kelimeye baktım 🙂 Böyle bir kelime yoktu. Bunun Deleted olabileceğini düşündüm. Buradaki kelimeyi istiyordu bizden. Hemen içinden iki cümle seçip google da arattım. Karşıma bir kitap çıktı. Ve aradığım kelime de oradaydı.

Aradığımız kelime EZ

Evet kelimemiz memorandum-book ancak bunun sha1 ile hashlenmiş halini istiyordu. Bunu sha1 ile hashlemek için CyberChef uygulamasını kullandım.

cyberchef ile sha1

Güzel bir soruydu. Daha sonra yabancıların yazdığı bir writeupta bu soruyu çözmek için python ile script yazıp LSB’leri alıp birleştirdiklerini gördüm. Doğru toolu kullanınca o kadar uğraşmaya gerek yokmuş 🙂 Ancak kendime ev ödevi olarak aldım bu konuyu. Kodu yazdığımda bu postun altında paylaşacağım. Bu sorudan edindiğim tecrübe stego sorularında LSB’lerin mutlaka dikkate alınması gerektiği.(Doğal olarak tabi 😀 )

Share

You may also like...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir