Pada kesempatan kali ini saya mengerjakan CTF melalui website yang bernama picoCTF dengan bidang yang spesifik yaitu forensic. Melalui platform yang bernama medium saya akan membagikan langkah langkah saya dalam menganalisis, memahami, serta menyelesaikan masalah yang terdapat pada picoCTF.

1. Hidden In Plainsight

Hidden in plainsight sendiri adalah case yang bertujuan menemukan informasi tersembunyi di dalam suatu file image yang bernama img.jpg. Dalam memeriksa informasi tersembunyi tersebut perlu dilakukan pemeriksaan dengan beberapa metode yaitu teknik steganografi dan decoding.

None
Gambar 1.1 Mendownload File Image

Hal pertama yang harus dilakukan adalah mendownload file image yang telah diberikan oleh picoCTF untuk diselesaikan.

None
Gambar 1.2 Menggunakan Exiftool Untuk Melihat METADATA file

Sekilas file image tersebut tidak memiliki hal aneh didalamnya tetapi kita harus memeriksa lebih teliti apa saja yang terdapat di dalam file tersebut. Salah satu caranya adalah dengan melihat metadata file tersebut. Metadata file adalah informasi tambahan yang mendeskripsikan berbagai aspek dari sebuah file digital, seperti nama file, ukuran, tipe file (format), tanggal pembuatan atau pengeditan, penulis, lokasi penyimpanan, dan detail teknis lainnya. Dengan menggunakan exiftool di terminal linux sebagai tools untuk melihat metadata file secara lengkap kita menemukan terdapat string yang berbentuk encoding mencurigakan pada kolom comment.

None
Gambar 1.3 Mengecek Tipe Hash

Selanjutnya, untuk memeriksa apa arti dari kode tersebut kita perlu mengetahui tipe encoding yang digunakan dalam kolom comment tersebut. Saya menggunakan website hashes.com untuk menemukan tipe encoding tersebut, saya mendapatkan tipe encodingnya adalah Base64 Encoding.

None
Gambar 1.4 Decoding Base64 Encoding pada Comment

Selanjutnya, karena encoding bersifat dua arah yang artinya bisa dikembalikan lagi ke bentuk semula kita melakukan proses decoding di terminal dengan menggunakan fungsi echo. Kita mendapatkan kode passphrase steghide untuk di ekstrak. Tetapi, passphrase tidak dapat langsung digunakan karena masih berbentuk Base64 Encoding.

None
Gambar 1.5 Decoding Base64 Encoding untuk Passphrase

Kita melakukan decoding pada base64 yang terdapat pada steghide agar mendapatkan passphrase yang tepat. Dan kita mendapatkan kode yaitu "pAZzword" sebagai passphrase yang tepat

None
Gambar 1.6 Melakukan ekstraksi informasi menggunakan steghide

Setelah memasukkan passphrase yang tepat maka data yang di ekstrak (Informasi Tersembunyi) akan ditulis ke dalam file yang bernama "flag.txt" lalu dengan fungsi cat kita dapat melihat flag yang terdapat di dalam file image img.jpg

None
Gambar 1.7 Membuka flag

2. Riddle Registry

Riddle registry adalah case CTF pada picoCTF yang memberikan suatu file PDF dengan isi yang terlihat memiliki isi kata kata yang random. tetapi dibalik itu semua terdapat flag/informasi rahasia yang bisa diketahui melalui metadata yang dimiliki oleh file.

None
Gambar 2.1 Mendownload file PDF

Langkah pertama yang dilakukan adalah mendownload file pdf dari halaman tersebut

None
Gambar 2.2 Isi File PDF yang diberikan

Pada pdf tersebut terlihat hanya berisi kata kata acak dan beberapa petunjuk tentang bagaimana cara mendapatkan informasi rahasia yang kita cari.

None
Gambar 2.3 Melihat metadata file menggunakan Exiftool

Langkah selanjutnya kita melihat metadata dari file pdf tersebut dengan menggunakan tools yang bernama exiftool untuk menemukan kejanggalan yang ada pada file tersebut. Kita mendapatkan sesuatu yang mencurigakan pada kolom author. Ternyata pada kolom author terdapat string yang berbentuk base64 encoding untuk menyembunyikan suatu pesan.

None
Gambar 2.4 Decoding base64

Untuk mengetahui isi pesan tersebut kita perlu melakukan decoding pada kode tersebut agar dapat membaca dan mengetahui apa isi sebenarnya dari kode tersebut. Dengan menggunakan echo dan -d kita mendapatkan pesan flag yang terdapat pada file tersebut.

3. DISKO 1

Disko 1 adalah case ctf yang bertujuan untuk menemukan flag di dalam sebuah file bertipe disk. File yang telah di zip menggunakan GNU Zip ini perlu diekstrak terlebih dahulu dengan menggunakan gunzip. Untuk melihat flag pada file disk ini kita perlu mengubah disk ini menjadi tipe data strings dan mencari kata kata yang sesuai yaitu "picoflag"

None
Gambar 3.1 Mendownload file disk

Langkah pertama adalah mendownload file pada picoctf

None
Gambar 3.2 Mengekstrak file disk menggunakan gunzip

Langkah selanjutnya adalah melakukan ekstraksi data agar file disk tersebut dapat digunakan dengan menggunakan metode gunzip.

None
Gambar 3.3 Mencari picoctf

Selanjutnya kita perlu mengubah file disk tersebut menjadi string agar kita bisa mengetahui apa flag tersembunyi yang terdapat di dalam disk tersebut. Dengan memanfaatkan fungsi strings yang mengubah file menjadi format string kemudian dengan pipeline fungsi grep yang berfungsi untuk mencari kata yang dinginkan kita bisa mendapatkan flag yg kita inginkan.

Baiklah,cukup sekian dari saya tentang writeup picoCTF untuk bagian forensic. semoga bermanfaat bagi orang yang membaca, dan terima kasih untuk sesi warmupnya. happy learning guysss