Sofia6002/CTF_LayeredExfiltration
GitHub: Sofia6002/CTF_LayeredExfiltration
一道两阶段取证类 CTF 挑战题,要求从图像 EXIF 元数据中提取并解码 Base64 密码来解锁加密归档文件中的 flag。
Stars: 0 | Forks: 0
# 分层数据外传
这是一道取证类 CTF 挑战题,主要测试元数据分析和编码凭据恢复能力。
## 挑战概述
这是一道两阶段的取证挑战题,主要测试元数据分析和编码凭据恢复能力。参与者必须从图像元数据中提取隐藏的线索,对其进行解码,并利用得到的结果来解锁包含 flag 的受保护归档文件。
## 设置说明
1. 下载 `evidence.jpeg` 和 `flag.zip`。
2. 无需特殊软件——任何 EXIF 查看器(在线工具、exiftool 或兼容 Windows 的替代工具)以及任何 Base64 解码器(例如 CyberChef)均可完成。
3. 任何能够打开受密码保护的 ZIP 文件的标准归档工具(WinRAR、7-Zip、unzip)都足以完成最后一步。
## 挑战故事 / 场景
在一次常规安全审计中,某位员工的工作站在其突然辞职前不久被标记出存在异常活动。该机器被进行了镜像处理,调查人员从桌面上恢复了一张照片和一个加密的归档文件。这张照片看起来很普通——但表象往往具有欺骗性。你能恢复出该员工试图保护的内容吗?
## Flag 位置 / 逻辑
- flag 本身位于 `flag.zip` 内部,为纯文本形式。
- `flag.zip` 受密码保护;密码并未直接给出。
- 密码被隐藏且经过了 Base64 编码,存放在 `evidence.jpeg` 的 EXIF `UserComment` 元数据字段中。
- 参与者必须提取该元数据字段,从 Base64 解码,并将结果用作归档文件的密码。
## 预期解题路径
1. 检查 `evidence.jpeg` 的元数据(通过 EXIF 查看器或等效工具)并找到 `UserComment` 字段。
2. 解码找到的 Base64 字符串(例如,使用 CyberChef 的 "From Base64" 操作)。
3. 解码后的文本会以 `zip_password=` 格式显示密码。
4. 使用此密码打开 `flag.zip`。
5. 从提取的文本文件中读取 flag。
演示:https://drive.google.com/file/d/1TPmyTHJrm_9I2_b6GwDmquap7R-P9G20/view?usp=sharing
## 学习成果
完成这道挑战题后,参与者将会明白:
- 图像文件通常带有值得在取证调查期间检查的隐藏元数据。
- Base64 是一种常见且易于逆转的编码方案,用于混淆(而非安全加密)数据。
- 现实世界的事件响应通常涉及将几种简单的技术结合使用,而不是依赖某一个单一的“技巧”。
标签:DNS 反向解析, StruQ, 元数据分析, 安全竞赛, 数字取证, 自动化脚本, 隐写术