PNG: Un logo obèse 1/4 (Stéganographie) - 404CTF 2022

Fichiers du challenge Principe:
Extraire les données excédentaires à la fin d'un fichier (une image PNG)

Le challenge

Le challenge demande de trouver un message caché dans une image (dispo ici)

Exiftool

Dans les données EXIF (metadata de l'image, visualisable via exiftool par exemple) on repère un Warning: des données excédentaires

Extraction

Un petit script pour extraire ce qui traine après le chunk IEND (le dernier d'après la spec PNG du W3C ) et on récupère un fichier de données

Notez que ce script est faux: il faut extraire à partir de IEND + 8 chars: un offset +4 pour la longueur de la chaine IEND et un autre offset +4 pour la longueur du CRC32 qui la suit!

Le fichier de données ressemble beaucoup à un header ZIP (PK et, plus loin, des chemins de fichiers). Si je n'avais pas fait d'erreur d'offset dans mon script, j'aurai directement eu un ZIP.

Savoir identifier des formats de fichiers en un coup d'oeil, surtout pour les plus courants, c'est très utile!

On corrige donc le script, pour retirer les premiers caractères du fichier de données extrait et s'aligner sur le header PK, ce qui nous donne un Zip archive data

Flag

On l'ouvre, et on se retrouve avec une image contenant le flag:
404CTF{0b3z3_f1l3_h4z_zup3r_spy_s3cr37}
Les flags dans les images… une bonne source de "fail" alors, relisez-vous!

Fichiers du challenge

⇇ 404CTF 2022