KIRJELDUS

On antud kolm pildifaili, igasse on peidetud lühike sõnum kujul 'Flag{...}'.

Su ülesanne on neid üles leida.

ÜLESANNE 1


Ups! Pilt ei laadinud ära!

VIHJED

Vaata faili hex-editori abil, nt FlexHEX (Windows), GHex (Linux) või radare2 (edasijõudnutele).
Hex-editori kõige parempoolsem veerg näitab baite ASCII tekstina, kas seal on kuskil kirjas 'Flag'?

LAHENDUS

Avame fail hex-editoris ja kohe alguses, aadressil 0x10, on näha 'Flag{...}'.

Ups! Pilt ei laadinud ära!
PNG fail koosneb mitmest segmentdist ning igal segmentdil on neljatäheline nimi. Näiteks segmendis 'IHDR' on kirjas pildi suurus, värvimudel jne, aga segmendis 'IDAT' on pildi pikslite väärtused. Antud PNG faili oli kunstlikult lisatud segment 'flag', mida tavaline pilditöötlus tarkvara ignoreerib.

ÜLESANNE 2


Ups! Pilt ei laadinud ära!

VIHJED

Nagu ka eelmises pildis, faili sisse on sõnum peidetud lihtsa tekstina. Ent mitte algusesse.
Mõni hex-editor oskab automatselt otsida lõike, mis näevad välja nagu tekst. Proovi "Search > Scan for Strings" (FlexHEX) või "izz" (radare2).

LAHENDUS

kasutades radare2-t:

Ups! Pilt ei laadinud ära!
Kasutades FlexHEX-i:
Ups! Pilt ei laadinud ära!

Ups! Pilt ei laadinud ära!

Ups! Pilt ei laadinud ära!

ÜLESANNE 3


Ups! Pilt ei laadinud ära!

VIHJED

Seekord flag ei ole lihtsalt tekst, kuid sellegipoolest teksti tasuks otsida.
Faili algus ja lõpp on tihti kõige huvitavamad.
Paljud failivormingud sisaldavad 2-4 fikseeritud tähte, et failivormingut oleks lihtne tuvastada. Näiteks:
| Laiend | tunnusmärk |
|--------|------------|
|  .jpg  | JFIF       |
|  .png  | PNG        |
|  .zip  | PK         |
|  .exe  | MZ         |
|  .pdf  | %PDF       |
|  .7z   | 7z         |
On võimalik, et üks fail on samaaegselt avatav mitmes failivormingus.
Tarkvara nagu binwalk ja radare2 (käsk '/m') oskab automatselt otsida failivormingu tunnusmärke.

LAHENDUS

Antud JPEG fail on avatav ka ZIP failina.

Vaatame faili lõppu:

Ups! Pilt ei laadinud ära!
Kaks baiti 'PK' on ZIP failide tunnusmärk (ZIP failivormingu looja Phil Katzi initsiaalid). Lisaks on näha sõne 'flag.txt', 'pngembed.c' ning 'jpgembed.py'. Need on ilmselt failinimed, mis ka viitab sellele, et tegu on arhiiviga.

KONTROLL