Pada case kali ini kita diminta mencari sesuatu flag didalam file cat.jpg. Dalam file tersebut kita akan menggunakan tools yaitu file, bindwalk, hexdump, echo, exiftool dan base64. Berikut perhatikan case nya dibawah ini :
Description
Files can always be changed in a secret way. Can you find the flag? cat.jpg
Langkah 1. Silahkan download file pada url cat.jpg
Langkah 2. Ketikkan perintah file untuk mengetahui spesifikasi file tersebut.
# file cat.jpg
cat.jpg: JPEG image data, JFIF standard 1.02, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 2560x1598, components 3Langkah 3. Ketikkan perintah bindwalk, digunakan untuk melihat deskripsi file tersebut.
# binwalk cat.jpg
Kegunaan bindwalk adalah :
Bindwalk adalah alat yang digunakan dalam bidang keamanan siber dan analisis perangkat lunak untuk memeriksa dan menganalisis file biner. Fungsinya meliputi:
- Identifikasi Metadata: Bindwalk dapat mengekstrak dan menganalisis metadata dari file biner, seperti versi perangkat lunak, nama pengembang, dan informasi lainnya yang mungkin tertanam dalam file tersebut.
- Pencarian Tanda Tangan: Alat ini dapat mencari tanda tangan kriptografis atau pola tertentu dalam file biner untuk mengidentifikasi malware atau perangkat lunak berbahaya lainnya.
- Analisis Struktur: Bindwalk dapat memeriksa struktur internal file biner, termasuk header, segmen, dan bagian lainnya untuk memahami bagaimana file tersebut dibangun dan bagaimana ia beroperasi.
- Penguraian String: Alat ini dapat mengekstrak string teks yang ada dalam file biner, yang dapat memberikan petunjuk tentang fungsionalitas atau tujuan dari file tersebut.
- Deteksi Anomali: Dengan membandingkan file biner dengan profil atau pola yang dikenal, Bindwalk dapat mendeteksi anomali atau perilaku yang mencurigakan dalam file tersebut.
Secara keseluruhan, Bindwalk adalah alat yang berguna untuk peneliti keamanan, analis malware, dan profesional TI lainnya yang perlu menganalisis file biner secara mendalam untuk tujuan keamanan dan pemahaman perangkat lunak.
Langkah 4. Ketikkan perintah hexdump
# hexdump -C cat.jpg | head
Langkah 5. Pada langkah ke 4 diatas sepertinya kita tidak menemukan sesuatu dalam bentuk enkripsi. Maka kita lanjut dengan metadata menggunakan perintah exiftool.
# exiftool cat.jpg
Pada gambar diatas hasil output dari perintah exiftool, terlihat pada License sepertinya hasil encrypt pada sebuah algoritma. Misal kita menebak menggunakan base64.
Langlah 6. Ketikkan perintah decrypt sebagai berikut
# echo cGljb0NURnt0aGVfbTN0YWRhdGFfMXNfbW9kaWZpZWR9 | base64 -d
picoCTF{the_m3tadata_1s_modified}
Maka dapatlah hasil decrypt tersebut.
