Writeups
  • â„šī¸Infos
  • đŸ—“ī¸2021
    • DvCTF (to join DaVinciCode)
      • Crypto
        • Baby RSA
        • Ressaye
        • Unbreakable encryption
      • Forensics
        • Broken Portrait
        • Russian Dolls
        • Sus USB
      • Misc
        • Jus de Flag
        • Welcome
      • OSINT
        • Absolutely Nuts
      • Progra
        • Snoop's Mission
      • Reverse
        • Baby Reverse
        • Basic Cracking
        • Code Pyn
      • Steganography
        • Colorful Code
        • Hurt Your Eyes
        • Orchestra of Flags
        • Tyger
      • Web
        • Have I Been Pwned
        • What's Up ?
  • đŸ—“ī¸2022
    • DvCTF 2022
      • Crypto
        • Cwryptographic Owacle
        • Secure Or Not Secure
        • small weiner
      • Forensics
        • Very Bad Script
      • Misc
        • Data Leak
        • Going postal
        • The Hacker Man
      • OSINT
        • Elon Musk
        • Monkeey
        • Painting Spot
        • Welcome to the DaVinciCTF!
      • Pentest
        • DaVinci's Playlist : Part 1
        • DaVinci's Playlist : Part 2.5
        • DaVinci's Playlist : Part 2
      • Programming
        • Heaven's Gate
        • Sudoku
        • TicTacToe
      • Reverse
        • CryptoVault
        • Mine Game
        • Obfuscated
        • Peripheral Interface Controller XVI
      • Steganography
        • ICMP
        • The Arts of Details
        • Treasure
      • Warmup
        • EBG13
        • FrenchFlag
        • MP3
        • QmFzZTY0
        • RSA
        • Welcome
      • Web
        • CyberStreak v1.0
        • đŸŽĩ
    • picoCTF 2022
      • Challs WU
    • @HackDay - Qualifications
      • Crypto
        • Francis Bacon
        • Francs Maçons
        • Rotate-me!
        • Un message codÊ ?
      • Forensics
        • bad_timing_for_reversing
      • Hardware
        • Cubik'cipher
        • WebSDR
      • Reverse
        • Calling Conventions
        • Memory Investigation
      • Steganography
        • I can make pictures
        • J'ai perdu le flag :(
        • PokÊmons
        • Un coup de maÃŽtre
        • Un logo cachotier
      • Web
        • GIT!
        • Part. 1 - Uploads
        • Part. 2 - Old md5
        • Part. 3 - sudo python
    • 404CTF
      • Crypto
        • Un simple oracle [1/2]
        • Un simple oracle [2/2]
      • Misc
        • Je suis une thÊière
        • Pierre-papier-Hallebarde
        • GoGOLFplex
      • OSINT
        • À l'aube d'un Êchange
        • Collaborateur suspect
        • Equipement dÊsuet
      • Reverse
        • Mot de passe ?
      • Steganography
        • La plume à la main
        • PNG : Un logo obèse [1/4]
        • PNG : Drôles de chimères [2/4]
        • Toujours obèse [3/4]
      • Web
        • FichÊ JS
        • Le braquage
        • Du gÃĸteau
        • En construction !
    • Operation Kernel
      • Crypto
        • Scytale
      • Forensics
        • Research Paper
        • Excel Confidential
      • Reverse
        • CryptoLocker
        • What_If_CryptoLocker
      • Social Engineering
        • Pour vivre secure vivons cachÊ
        • Pour vivre secure vivons cachÊ Part 2
      • Stegano
        • AudioSpectre
        • Datacenter
        • Takazume
      • WEB
        • Research paper blog
        • SQL Project 1
        • SQL Project 2
        • SQL Project 3
        • Tenue de soirÊe requise
  • đŸ—“ī¸2023
    • 404CTF 2023
      • RÊsultats
      • Analyse forensique
        • PÃĒche au livre
        • Le Mystère du roman d'amour
        • Les Mystères du cluster de la Comtesse de SÊgur [1/2]
        • Lettres volatiles
        • Note de bas de page
      • Cloud
        • Le Sot
        • Le Cluster de Madame Bovary
        • Harpagon et le magot
        • Les nuages menaçants 1/3
        • Les nuages menaçants 2/3
      • Cryptanalyse
        • Recette
        • ASCON Marchombre
      • Divers
        • Bienvenue
        • Exemple de connexion à distance
        • Discord
        • À vos plumes !
      • Exploitation de binaires
        • Je veux la lune !
      • Programmation
        • L'Inondation
        • Des mots, des mots, des mots
      • Radio-FrÊquence
        • Navi
        • Avez-vous vu les cascades du hÊrisson ?
        • Le Plombier du cÃĸble
        • Ballistic Missile Submarine
      • Renseignement en sources ouvertes
        • Le Tour de France
        • Les OSINTables [1/3]
        • Un vol ?
        • L'Ãĸme d'un poète et le coeur d'une femme [1/4]
        • L'Ãĸme d'un poète et le coeur d'une femme [2/4]
        • L'Ãĸme d'un poète et le coeur d'une femme [3/4]
        • L'Ãĸme d'un poète et le coeur d'une femme [4/4]
      • RÊtro IngÊnierie
        • Le Divin Crackme
        • L'Inspiration en images
      • SÊcuritÊ MatÊrielle
        • Un courrier suspect
        • Un rÊveil difficile
      • StÊganographie
        • Odobenus Rosmarus
        • L'Œuvre
        • Les FÊlicitations
        • En Profondeur
        • Le Rouge et le vert, avec un soupçon de bleu
      • Web
        • Le Loup et le renard
        • L'AcadÊmie du dÊtail
        • La Vie Française
        • Fuite en 1791
        • L'Épistolaire moderne
        • Chanson d'Inde
      • Web3
        • Art
        • L'Antiquaire, tÃĒte en l'air
Powered by GitBook
On this page

Was this helpful?

  1. 2023
  2. 404CTF 2023
  3. Analyse forensique

Note de bas de page

PreviousLettres volatilesNextCloud

Last updated 1 year ago

Was this helpful?

CatÊgorie: Forensic - DifficultÊ: Difficile

Description:

Solution:

Pour ce challenge, il faut avoir du temps et de l'imagination. Mais ce challenge reste nÊanmoins très sympathique.

Nous avons à notre disposition un fichier .pst qui est une sauvegarde de mails Outlook. Tout d'abord nous allons donc l'importer dans Outlook pour voir son contenu :

Nous allons inspecter chaque dossier pour essayer de trouver quelque chose d'intÊressant. Il y a 3 mails de Microsoft, 1 brouillon vide, 2 mails de log concernant des erreurs de synchronisation des mails et 1 mail envoyÊ. Dans ce dernier mail, nous voyons qu'elle Êcrit à son ami en mettant en pièce jointe une capture d'Êcran d'un fichier Excel oÚ nous pouvons d'ailleurs voir le dÊbut du flag (en bas à droite) :

La seule chose que nous pouvons faire maintenant c'est passer à l'analyse de l'image pour voir s'il n'y a pas quelque chose cachÊ derrière. Avec l'outil exiftool nous voyons qu'il dÊtecte une erreur de IEND chunck dans l'image :

Avec ghex, nous allons pouvoir analyser ce qu'il se passe :

Nous voyons effectivement qu'il y a un souci car nous avons ÊnormÊment de contenu après la "balise" IEND qui normalement signifie la fin de l'image. D'ailleurs un autre IEND est bien prÊsent à la fin de cette image. Il n'empÃĒche que cela soit vraiment Êtrange d'avoir du contenu ajoutÊ après le IEND. Nous allons donc chercher pourquoi :

Maintenant que nous avons toutes ces informations, il faut trouver (ou dÊvelopper pour les plus dÊterminÊ(e)s) un outil qui permet de reconstruire l'image originale (avant le recadrage).

Une fois tÊlÊchargÊ, nous allons lancer l'outil et ouvrir l'image souhaitÊe (la capture d'Êcran du dÊbut) :

Il suffit simplement d'uploader l'image et de sÊlectionner "Windows 11 Snipping Tool" et le rÊsultat est calculÊ automatiquement par l'outil :

Quand nous sauvegardons l'image rÊparÊe, nous pouvons voir le flag complet ainsi que l'Êcran de la personne en gÊnÊral :

Ce challenge Êtait vraiment intÊressant et un grand merci à @Smyler#7078 pour cette crÊation et les dÊcouvertes faites grÃĸce à ce challenge.

🚩 FLAG
404CTF{L3_f0rM1d@bl3_p09re35_d3s_lUm13re5}

Le provenant d'un blog à l'air intÊressant. En lisant cet article, nous comprenons très rapidement qu''un bug a ÊtÊ dans un premier temps relevÊ sur les tÊlÊphones portables Pixel puis ensuite sur l'outil Snip & Sketch de Windows. Ce bug fait que lorsqu'une personne prend une capture d'Êcran, la recadre et l'enregistre SUR (ou à la place de) la capture d'Êcran initiale, les donnÊes qui ne sont plus visibles, sont enlevÊes et rajoutÊes après le IEND de la nouvelle image. Ce bug se nomme "Acropalypse" (CVE 2023-21036).

Pour ce faire, nous allons aller sur Github et simplement chercher "Acropolypse" pour trouver parlant de bug. Tous proposent des outils plus ou moins bien, mais nous il nous faut un outil qui permet de rÊcupÊrer des images faites avec Windows et non seulement avec des tÊlÊphones Pixel. J'ai donc trouvÊ (après avoir testÊ les autres) qui propose un outil vraiment très intÊressant car nous avons simplement besoin d'uploader l'image et pas besoin de prÊciser les dimensions originales de l'image comme les autres demandaient.

đŸ—“ī¸
premier rÊsultat
17 repos
ce repo
4MB
backup.pst