Catégorie: Forensic - Difficulté: Difficile

Description:

Solution:

Pour ce challenge, il faut avoir du temps et de l'imagination. Mais ce challenge reste néanmoins très sympathique.

Nous avons à notre disposition un fichier .pst qui est une sauvegarde de mails Outlook. Tout d'abord nous allons donc l'importer dans Outlook pour voir son contenu :

Nous allons inspecter chaque dossier pour essayer de trouver quelque chose d'intéressant. Il y a 3 mails de Microsoft, 1 brouillon vide, 2 mails de log concernant des erreurs de synchronisation des mails et 1 mail envoyé. Dans ce dernier mail, nous voyons qu'elle écrit à son ami en mettant en pièce jointe une capture d'écran d'un fichier Excel où nous pouvons d'ailleurs voir le début du flag (en bas à droite) :

La seule chose que nous pouvons faire maintenant c'est passer à l'analyse de l'image pour voir s'il n'y a pas quelque chose caché derrière. Avec l'outil exiftool nous voyons qu'il détecte une erreur de IEND chunck dans l'image :

Avec ghex, nous allons pouvoir analyser ce qu'il se passe :

Nous voyons effectivement qu'il y a un souci car nous avons énormément de contenu après la "balise" IEND qui normalement signifie la fin de l'image. D'ailleurs un autre IEND est bien présent à la fin de cette image. Il n'empêche que cela soit vraiment étrange d'avoir du contenu ajouté après le IEND. Nous allons donc chercher pourquoi :

Le premier résultat provenant d'un blog à l'air intéressant. En lisant cet article, nous comprenons très rapidement qu''un bug a été dans un premier temps relevé sur les téléphones portables Pixel puis ensuite sur l'outil Snip & Sketch de Windows. Ce bug fait que lorsqu'une personne prend une capture d'écran, la recadre et l'enregistre SUR (ou à la place de) la capture d'écran initiale, les données qui ne sont plus visibles, sont enlevées et rajoutées après le IEND de la nouvelle image. Ce bug se nomme "Acropalypse" (CVE 2023-21036).

Maintenant que nous avons toutes ces informations, il faut trouver (ou développer pour les plus déterminé(e)s) un outil qui permet de reconstruire l'image originale (avant le recadrage).

Pour ce faire, nous allons aller sur Github et simplement chercher "Acropolypse" pour trouver 17 repos parlant de bug. Tous proposent des outils plus ou moins bien, mais nous il nous faut un outil qui permet de récupérer des images faites avec Windows et non seulement avec des téléphones Pixel. J'ai donc trouvé ce repo (après avoir testé les autres) qui propose un outil vraiment très intéressant car nous avons simplement besoin d'uploader l'image et pas besoin de préciser les dimensions originales de l'image comme les autres demandaient.

Une fois téléchargé, nous allons lancer l'outil et ouvrir l'image souhaitée (la capture d'écran du début) :

Il suffit simplement d'uploader l'image et de sélectionner "Windows 11 Snipping Tool" et le résultat est calculé automatiquement par l'outil :

Quand nous sauvegardons l'image réparée, nous pouvons voir le flag complet ainsi que l'écran de la personne en général :

Ce challenge était vraiment intéressant et un grand merci à @Smyler#7078 pour cette création et les découvertes faites grâce à ce challenge.

404CTF{L3_f0rM1d@bl3_p09re35_d3s_lUm13re5}