back to blog list

MidnightFlag CTF Write-Up Will the big wheel

24 avril 2022 2 min read

MidnightFlag CTF

Le MidnightFlag CTF est un CTF organisé par des étudiants de l'ESNA

Description

Nos services de renseignements viennent de recevoir un message d'un de nos agents en URSS et selon les premiers éléments, nous devons rapidement le retrouver pour l'exfiltrer. Votre mission est de décoder son message et de nous renvoyer le lieu d'extraction.

Format : MCTF{hashMD5}
Auteur: A0d3n

Will the Big Wheel

Solution

Tout d'abord, vérifions les métadonnées de l'image qui nous a été donnée. Avec un simple exiftool MessageRecover.png, nous obtenons les informations suivantes (certaines informations ont été retirées pour plus de clarté) :

ExifTool Version Number         : 12.38
File Name                       : MessageRecover.png
Directory                       : .
File Size                       : 23 KiB
MIME Type                       : image/png
Image Width                     : 532
Image Height                    : 284
Bit Depth                       : 8
Color Type                      : RGB with Alpha
Compression                     : Deflate/Inflate
Filter                          : Adaptive
Resolution Unit                 : inches
Y Cb Cr Positioning             : Centered
Copyright                       : MidnightFlag
Exif Version                    : 0232
Components Configuration        : Y, Cb, Cr, -
User Comment                    : WzUxLjQwMzA5LCAzMC4wNDQwMXw1MS40MDc4OSwgMzAuMDU1NjR8NTEuNDAwODksIDMwLjA2NDA4XSwgSSB3SUxsIHdBSXQgWW9VIGFUIHRIZSBjRW50RVIu
Flashpix Version                : 0100
Owner Name                      : A0d3n
Image Size                      : 532x284

Une ligne qui attire notre attention est le " User Comment ". Cela semble être du texte codé en base64. Essayons de le décoder avec echo -n "WzUxLjQwMzA5LCAzMC4wNDQwMXw1MS40MDc4OSwgMzAuMDU1NjR8NTEuNDAwODksIDMwLjA2NDA4XSwgSSB3SUxsIHdBSXQgWW9VIGFUIHRIZSBjRW50RVIu" | base64 --decode

[51.40309, 30.04401|51.40789, 30.05564|51.40089, 30.06408], I wILl wAIt YoU aT tHe cEntER.

Cela ressemble à des coordonnées. La première semble être dans le nord de l'Ukraine, et les autres sont proches.

First GPS Coordinate

Le message décodé dit également "Je vous attendrai au centre". Nous pouvons déduire de cette phrase que l'agent attendra au centre de ces trois coordonnées.

En effectuant une recherche rapide sur le calcul de la moyenne de coordonnés GPS, nous trouvons un script javascript sur Github Gist. Nous pouvons alors adapter un exemple avec nos coordonnées, et nous obtenons un résultat !

Calculating the average coordinate

En plaçant ces coordonnées sur une carte, nous arrivons près du parc d'attraction

Nous regardons ensuite le point d'intérêt le plus proche, et nous trouvons Чорнобиль, ce qui signifie Tchernobyl.

Average coordinate on a map

On formate ensuite le mot avec echo -n "Чорнобиль" | md5sum et obtenons le drapeau MCTF{3687016d7a89edc046069933f208e8c8}.

writeup MidnightFlagCTF OSINT

Vous avez trouvé une erreur ou souhaitez contribuer à cet article ? Éditez cette page sur GitHub !