Sofia6002/CTF_LayeredExfiltration

GitHub: Sofia6002/CTF_LayeredExfiltration

一道两阶段取证类 CTF 挑战题,要求从图像 EXIF 元数据中提取并解码 Base64 密码来解锁加密归档文件中的 flag。

Stars: 0 | Forks: 0

# 分层数据外传 这是一道取证类 CTF 挑战题,主要测试元数据分析和编码凭据恢复能力。 ## 挑战概述 这是一道两阶段的取证挑战题,主要测试元数据分析和编码凭据恢复能力。参与者必须从图像元数据中提取隐藏的线索,对其进行解码,并利用得到的结果来解锁包含 flag 的受保护归档文件。 ## 设置说明 1. 下载 `evidence.jpeg` 和 `flag.zip`。 2. 无需特殊软件——任何 EXIF 查看器(在线工具、exiftool 或兼容 Windows 的替代工具)以及任何 Base64 解码器(例如 CyberChef)均可完成。 3. 任何能够打开受密码保护的 ZIP 文件的标准归档工具(WinRAR、7-Zip、unzip)都足以完成最后一步。 ## 挑战故事 / 场景 在一次常规安全审计中,某位员工的工作站在其突然辞职前不久被标记出存在异常活动。该机器被进行了镜像处理,调查人员从桌面上恢复了一张照片和一个加密的归档文件。这张照片看起来很普通——但表象往往具有欺骗性。你能恢复出该员工试图保护的内容吗? ## Flag 位置 / 逻辑 - flag 本身位于 `flag.zip` 内部,为纯文本形式。 - `flag.zip` 受密码保护;密码并未直接给出。 - 密码被隐藏且经过了 Base64 编码,存放在 `evidence.jpeg` 的 EXIF `UserComment` 元数据字段中。 - 参与者必须提取该元数据字段,从 Base64 解码,并将结果用作归档文件的密码。 ## 预期解题路径 1. 检查 `evidence.jpeg` 的元数据(通过 EXIF 查看器或等效工具)并找到 `UserComment` 字段。 2. 解码找到的 Base64 字符串(例如,使用 CyberChef 的 "From Base64" 操作)。 3. 解码后的文本会以 `zip_password=` 格式显示密码。 4. 使用此密码打开 `flag.zip`。 5. 从提取的文本文件中读取 flag。 演示:https://drive.google.com/file/d/1TPmyTHJrm_9I2_b6GwDmquap7R-P9G20/view?usp=sharing ## 学习成果 完成这道挑战题后,参与者将会明白: - 图像文件通常带有值得在取证调查期间检查的隐藏元数据。 - Base64 是一种常见且易于逆转的编码方案,用于混淆(而非安全加密)数据。 - 现实世界的事件响应通常涉及将几种简单的技术结合使用,而不是依赖某一个单一的“技巧”。
标签:DNS 反向解析, StruQ, 元数据分析, 安全竞赛, 数字取证, 自动化脚本, 隐写术