]> git.somenet.org - pub/jan/ctf-seminar.git/blob - writeups/ifkata/seccon19.md
Add toaster/seccon19 writeup
[pub/jan/ctf-seminar.git] / writeups / ifkata / seccon19.md
1 # Seccon: misc-sandstorm
2
3 The task was chosen, because it seemed interesting at first and I have never seen such a challenge before. 
4
5 ### Status: not solved
6
7 ### What I considered
8 Generally, I found out that there could be 5 ways of hiding data in the image:
9 * text in the raw bytes of the image
10 * embedding a file in the image
11 * hiding pixels in a single color plane
12 * hiding data in the bits of the pixel data in the image
13 * image metadata
14
15
16 ### What I tried
17 1. Testing the image metadata:
18     ```
19     exiftool sandstorm.png
20     ```
21 2. Testing for printable strings of different length (here, for example 10):
22     ```
23     strings -a -n 10 sandstorm.png
24     ```
25
26 3. Viewing the hex representation of the image just in case there was something after the file end:
27     ```
28     xdd sandstorm.png
29     ```
30
31 4. Checking what bitwalk could extract and analyzing the extracted files
32     ```
33     $ bitwalk -e sandstorm.png
34     -rw-r--r-- 1 ivo ivo     0 Oct 19 18:14 3B
35     -rw-r--r-- 1 ivo ivo 63456 Oct 19 18:14 3B.zlib
36     $ zlib-flate -uncompress < 3B.zlib
37     ```
38     Nothing of interest was found though
39
40 5. I analyzed the RGBA Values of the image and checked if I could find something there. I used https://georgeom.net/StegOnline/ for this
41
42 6. Using (Stegsolve)[https://en.kali.tools/all/?tool=1762] I tried changing the different image channels in case something was there
43
44 7. Again, using Stegsolve I tried changing to different bit planes and checking out the result
45
46 8. Using (zsteg)[https://github.com/zed-0xff/zsteg] I tried exploring the file a little further and I found out this:
47 ```
48 b1,r,msb,xy         .. text: "SEF:\r$CW"
49 b3,rgba,lsb,xy      .. file: MPEG ADTS, AAC, v4 Main, 88.2 kHz, stereo+center+LFE
50 b4,rgb,lsb,xy       .. file: MPEG ADTS, AAC, v4 Main, 96 kHz
51 ```
52
53 Which, I think, means that there is an audio file inside the image.