[MCTF 2021] [Stega] The Hidden Message

[MCTF 2021] [Stega] The Hidden Message

Nom : The hidden message
Point : 300

Énoncé :
La NASA vient de recevoir les premières images de son nouveau rover marsien Perseverance

Depuis quelques heures, le Command Control aurait des problèmes pour envoyer les instructions au rover... Selon eux, le vent martien brouillerait les communications avec le rover.

En tant que fin connaisseur, vous sentez que quelque chose cloche, mais quoi...

Votre but est de trouver ce détail et de prévenir la NASA au plus vite.

Bonne chance citoyenne, citoyen !

Format du flag : MCTF{}

Auteur : A0d3n

Tout commence avec un gif un peu lourd (49.9MB), a moins d'être de haute qualité, il cache quelque chose...
Si on le regarde, on voit que pendant quelques images, un code s'affiche :
code-gif

"Strong archive" ? Ok, on passe donc un coup de binwalk sur notre gif.

Il y a 1 fichier caché qui contient plein de choses que l'on va simplement extraire avec binwalk -e -c Perseverance.gif:

extract-binwalk

Les fichiers texte contiennent un message avec du morse disant de bien regarder l'atterrissage...
L'archive .rar, elle, pourra être ouverte avec le mot de passe qui était affiché dans le gif : My_StR0n9_4rCh1v3

Elle contient une vidéo .mp4 du déploiement du parachute de Perseverance. Celle-ci fait 2 minutes 22 secondes. Étrange... En faisant une petite recherche, on peut retrouver l'originale ici qui ne fait que 21 secondes et n'as pas de son...

Binwalk ne donne rien... Examinons alors les données EXIF avec exiftool :
exif-result

Beaucoup d'info avec exiftool, mais le plus intéressant est sur la capture ci-dessus.
Le fichier a été modifié avec Adobe Premiere Pro et on voit qu'un fichier test.wav a été ajouté. Le son n'étant pas d'origine, on va devoir l'extraire et l'analyser.

[Ici j'ai passé longtemps à me battre avec Audacity, c'était un enfer...]

Donc en jouant un peu avec Audacity et le spectre du son on peut appercevoir des characters ?
audacity--1

Affinons...
audacity--2

Encore ?
audacity-3

Ok... ONXH{Aitdixpvcygg} ?
Ça a la forme d'un flag, mais avec un chiffrement par substitution ou par décalage ?

On peut penser que ONXH serai MCTF donc avec un rapide calcule ce n'est pas un Caesar...

Un vigenère ? Si oui, avec quelle clé ?

Le site dcode peut-il nous aider ?
dcode-1

On indique ce que l'on est sûr d'avoir...

dcode-2

Wait... La clé de chiffrement ne serait que CLE ???
dcode

wait

Le flag est donc MCTF{Perseverance}.

300 points. Plusieurs heures de galère. Un rire nerveux. Mais c'est flag !

Merci A0d3n !