Split - Cookie Arena

Đề bài

---

Phân tích

Bài này cho mình một file ảnh như sau

Có 3 chữ XOR XOR XOR thì có khả năng là XOR với một giá trị nào đấy hoặc với ảnh gốc của nó, mình sẽ thử tìm xem

Đầu tiên mình sẽ sử dụng binwalk trước để xem có file ẩn bên trong không

$ binwalk Mlemm.jpg 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01
30            0x1E            TIFF image data, big-endian, offset of first image directory: 8
169541        0x29645         RAR archive data, version 5.x

Có một file Rar, mình sẽ extract ra xem

$ binwalk -Me Mlemm.jpg

Scan Time:     2025-11-21 20:41:31
Target File:   /mnt/d/Documents/CTF/Cookie Arena/Steganography/Split/stenography-002/Mlemm.jpg
MD5 Checksum:  305e75a4483b84d6d81e217c7f594467
Signatures:    436

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
169541        0x29645         RAR archive data, version 5.x

WARNING: One or more files failed to extract: either no utility was found or it's unimplemented


Scan Time:     2025-11-21 20:41:32
Target File:   /mnt/d/Documents/CTF/Cookie Arena/Steganography/Split/stenography-002/_Mlemm.jpg.extracted/canva
MD5 Checksum:  87bf3cd133d093b895d2c99aa23e3631
Signatures:    436

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------

Thu được một file rar và một file canva

Kiểm tra file canva thì thấy không có gì

$ file canva 
canva: data

Khả năng là file này đã bị hỏng, cần phải phục hồi, nên sau đó mình đã mở bằng HxD

Mình thấy ngay dòng có nội dung như sau: c*o*o*k*i*e*h*a*n*h*o*a*n„R.a.r!

Vậy thì khá chắc đây là file Rar rồi, mình sẽ lên xem magic bytes của file Rar là gì để sửa nó

Xác định được magic byte của file Rar là 52 61 72 21 1A 07 01 00

Mình đã sửa thành công phần đầu và tiến hành kiểm tra

$ mv canva canva.rar
$ file canva.rar 
canva.rar: RAR archive data, v5

Vậy là đã ổn, thử unrar xem sao

$ unrar x canva.rar

UNRAR 7.13 freeware      Copyright (c) 1993-2025 Alexander Roshal

Extracting from canva.rar

Extracting  canvas.png.001                                            OK 
Extracting  canvas.png.002                                            OK 
Extracting  canvas.png.003                                            OK 
All OK

Ra được 3 file canvas.png.00*, mình sẽ kiểm tra 3 file này

$ pngcheck canvas.png.001 canvas.png.002 canvas.png.003
canvas.png.001  EOF while reading IDAT data
ERROR: canvas.png.001
canvas.png.002  this is neither a PNG or JNG image nor a MNG stream
ERROR: canvas.png.002
canvas.png.003  this is neither a PNG or JNG image nor a MNG stream
ERROR: canvas.png.003

Errors were detected in 3 of the 3 files tested.

Có vẻ cả 3 file đều bị hỏng, tiếp tục xem bằng HxD

canvas.png.001

Nhận thấy file canvas.png.001 có magic bytes bình thường không có gì bất ổn

canvas.png.001

Nhưng khi kéo xuống dưới thì thấy nó bị mất chunk IEND nên đã gây ra lỗi EOF như mình đã check bằng pngcheck

canvas.png.002

Đến file ảnh thứ 2 là canvas.png.002 thì không tồn tại magic bytes

canvas.png.002

Đến cuối cũng không thấy chunk IEND

canvas.png.003

Đến file thứ 3 cũng tương tự, không thấy có magic bytes của file PNG

canvas.png.003

Nhưng khi đến cuối lại thấy chunk IEND, từ đấy thì có thể kết luận rằng cả 3 file này thực chất là một file ảnh nhưng bị cắt làm 3 phần

$ cat canvas.png.001 canvas.png.002 canvas.png.003 > canvas.png

Sau khi nối xong mình thu được ảnh sau

Trông thì cũng không có gì lắm, mình sẽ check bằng zsteg xem sao

$ zsteg canvas.png
b1,r,lsb,xy         .. text: ".>.o\tj.+oon._,"
b1,g,lsb,xy         .. text: "qaqXzYqyX"
b1,rgb,lsb,xy       .. text: "++++[++++>---<]>.+++++..>--[-->+++++<]>.+[----->+<]>.[------>+<]>-.-[++>-----<]>.[----->++<]>-.-[----->+<]>+.-[-->+++<]>-.---.+++++++++++.[----->++<]>-.+[--->++<]>+++.-[-->+++<]>--.--[--->+<]>-.+[->+++<]>.-[----->+<]>+.-[-->+++<]>-.---.+++++++++++.+[----->"
b2,r,msb,xy         .. text: ["U" repeated 82 times]
b2,g,msb,xy         .. text: ["U" repeated 82 times]
b2,b,msb,xy         .. text: "wUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU"
b3,b,msb,xy         .. file: OpenPGP Secret Key
b3,rgb,msb,xy       .. file: OpenPGP Public Key
b3,rgba,msb,xy      .. file: OpenPGP Public Key
b4,b,lsb,xy         .. text: "2\"232#232\"233\"\"33##33\"232\"232\"223\"\"3\"\"\"33\"232\"233#\"23\"333\"\"33\"\"22##33\"333\"\"33\"\"33\"22##233\"#32\"223\"\"33\"\"2##22\"\"\"33\"\"33\"233#\"23\"23\"\"\"33\"\"33\"22##233\"#33\"\"22\"233#\"23\"233\"\"22\"232\"232\"232\"22\"\"\"33\"\"33\"233#\"23\"23\"\"\"33#232##33\"232\"23\"\"\"33\"232##33\"\"33\"\"3\"\"\"33#233#\"2"

Thấy một chuỗi ký tự khá lạ, khả năng là brainfuck

decode BrainFuck

---

Flag

Flag: CHH{Lap_Ghep_Cat_Ghep}