Difficulté : Moyen
Nous avons retrouvez une image sur le bureau numérique d’un agent infiltré dans la secte CASTEM, pouvez vous vérifier qu’il n’ai laissé aucune information qui pourrait nous être utile.
Nous disposons uniquement d’une image
Étrangement, cette image ne s’ouvre pas correctement sous Ubuntu avec Image Viewer : un message ‘Unrecognized image file format’ apparaît. Vérifions donc s’il s’agit bien d’une image.
Cela semble pourtant être le cas… Regardons les métadonnées de notre image.
Nous trouvons plusieurs informations. Commençons par décoder le commentaire avec la commande : echo 'WW91IHN1cmUgdGhpcyBpcyBhIHBuZyBmaWxlID8=' | base64 -d
Cette information confirme qu’il ne s’agit pas d’un simple PNG. Dans les métadonnées, deux lignes sont particulièrement intéressantes : MIME Type et File Type, qui indiquent que cette image est en réalité un APNG (Animated PNG). Il suffit donc de changer son extension et d’essayer de l’ouvrir.
Sous Windows, l’application Photos prend en charge les APNG par défaut. Sur Linux, il n’y a pas de APNG viewer par défaut. Par contre Firefox les supporte. On peut donc ouvrir l’image avec Firefox : firefox image.apng.
Maintenant que nous pouvons voir l’APNG, comptons le nombre d’images : nous en trouvons deux. Extrayons-les avec apngdis pour vérifier s’il y a d’autres informations à découvrir.
Nous obtenons trois frames ! Après un rapide coup d’œil, deux images semblent identiques visuellement. Vérifions cela.
Elles sont effectivement identiques, ce qui est assez étrange. Vérifions qu’il n’y ait aucune information cachée à l’aide de StegSolve .
Après quelques clics, on découvre que le flag apparaît dans le Blue plane 0 !
On aurait également pu utiliser ce site : en inspectant les LSB du canal bleu, on retrouve bien le flag.
Ce qui nous donne : interiut{aPng_Is_n0t-ThAt_Hard}