Stego Challenge – BitsNByte

Merhabalar, 

bu yazıda HackTheBox içerisinde bulunan “BitsNByte” isimli Stego challenge çözümünü inceleyeceğiz.

İlk olarak uygulama hakkında bize ipucu vermesi için challenge başlığı incelenir. Burada “Teröristler tarafından gönderilen bir mail yakaladık. Bu mail sadece bir resim içermekte. Değiştirilmiş resim ile gerçek resmi karşılaştırarak bir anlam içerip/içermediğini bulabilir misin?” ifadesi ile karşılaşılmaktadır.

Daha sonra challenge için paylaşılan zip dosyası indirilir ve herhangi bir arşiv açma aracı kullanılarak içerisindeki dosyaların dışarı çıkartılması sağlanır.

Görüldüğü üzere iki benzer resim dosyası elde edilmektedir. Resimlerin özellikleri incelendiğinde ise, “intercepted.png” resminin “original.png” resminden çok az da olsa büyük olduğu görülmektedir.

İki resim arasındaki farklılıkları tespit edebilmek için “compare” komutu kullanılmaktadır.

İşlem sonucunda “diff.png” isimli, iki resim dosyasının farkını içeren yeni bir resim dosyası elde edilmektedir.

Görüldüğü üzere resmin sol bölümünde kesik-kesik kırmızı renk bölgeleri bulunmaktadır. Bu ifade şekli “mors” kodlamasına çok benzemektedir ve  yatay eksende kırmızı noktaların “1”, beyaz noktaların “0” olarak işaretlenmesi ile anlamlı bir bilgi elde edilebileceği düşünülmektedir.

Bu işlem için geliştirilen python betiği aşağıdaki şekildedir.

Betik dosyasının çalışması sonrasında elde edilen görüntü aşağıdaki şekildedir.

Bir sonraki adımda aşağıdaki değişiklikler ile “binary” ifadelerin “string” formatına dönüştürülmesi gerçekleştirilmektedir.

Güncellenen betik dosyasının çalıştırılmasının ardından aşağıdaki görüntü elde edilmektedir.

İşlem sonucunda “base64” formatında bir ifade elde edildiği görülmektedir. Bu ifadenin decode edilmesi ile flag değeri tespit edilmektedir.

Yazar: Ahmet Akan

2016 Karabük Üniversitesi Bilgisayar Mühendisliği Mezunu. Kariyerine Uygulama Güvenliği Analisti olarak başladı ve bu alanda görev almaya devam etmekte.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir