[ACECTF] Whispering Waves (steganography)

Description:
Alex, a passionate linguist and culture enthusiast, frequently visits the website Francophonie.org to learn about the French-speaking world. Alex is known for their love of cryptography and steganography, often hiding messages in unsuspecting places.

열정적인 언어학자이자 문화 애호가인 알렉스는 프랑스어권 세계에 대해 배우기 위해 Francophonie.org 웹사이트를 자주 방문합니다. 알렉스는 암호학과 스테가노그래피를 사랑하는 것으로 유명하며, 종종 의심하지 않는 곳에 메시지를 숨기는 것으로 유명합니다.

WhisperingWaves.zip

1.44MB

wordlist.txt

0.06MB

 

위 2가지 파일이 주어진다.

zip 파일 압축을 해제하려하면 암호가 걸려있다.

john the ripper 툴을 이용하여 암호를 해제한다.

 

###########################################
zip2john WhisperingWaves.zip > hash.txt
john --wordlist=wordlist.txt hash.txt
john --show hash.txt

──(kali㉿kali)-[~/ctf]
└─$ john --show hash.txt

WhisperingWaves.zip/WhisperingWaves.wav.wav:Vierges:WhisperingWaves.wav.wav:WhisperingWaves.zip:WhisperingWaves.zip

1 password hash cracked, 0 left
###########################################
unzip WhisperingWaves.zip를 실행하면

┌──(kali㉿kali)-[~/ctf]
└─$ unzip WhisperingWaves.zip
Archive:  WhisperingWaves.zip
   skipping: WhisperingWaves.wav.wav  unsupported compression method 99
###########################################

┌──(kali㉿kali)-[~/ctf]
└─$ 7z x WhisperingWaves.zip


7-Zip 24.07 (x64) : Copyright (c) 1999-2024 Igor Pavlov : 2024-06-19
 64-bit locale=en_US.UTF-8 Threads:32 OPEN_MAX:1024

Scanning the drive for archives:
1 file, 1508504 bytes (1474 KiB)

Extracting archive: WhisperingWaves.zip
--
Path = WhisperingWaves.zip
Type = zip
Physical Size = 1508504

    
Enter password (will not be echoed):
Everything is Ok

Size:       1508258
Compressed: 1508504

 

기본 분석 방법

주어진 wav 파일을 분석하기 위해 기본적으로 사용해볼 명령어
file, strings, binwalk, exiftool

┌──(kali㉿kali)-[~/ctf]
└─$ file WhisperingWaves.wav.wav        
WhisperingWaves.wav.wav: RIFF (little-endian) data, WAVE audio, Microsoft PCM, 16 bit, mono 44100 Hz

┌──(kali㉿kali)-[~/ctf]
└─$ strings WhisperingWaves.wav.wav            
RIFF
WAVEfmt 
data
LIST&
INFOICRD
    
IGNR
Drum & Bass
id3 `
UTIT2
COMM
TPE1
TALB
TDRC
    TCON
Drum & Bass


┌──(kali㉿kali)-[~/ctf]
└─$ exiftool WhisperingWaves.wav.wav
ExifTool Version Number         : 12.76
File Name                       : WhisperingWaves.wav.wav
Directory                       : .
File Size                       : 1508 kB
File Modification Date/Time     : 2025:01:17 00:40:06-05:00
File Access Date/Time           : 2025:03:09 04:09:56-04:00
File Inode Change Date/Time     : 2025:03:09 04:06:23-04:00
File Permissions                : -rw-rw-r--
File Type                       : WAV
File Type Extension             : wav
MIME Type                       : audio/x-wav
Encoding                        : Microsoft PCM
Num Channels                    : 1
Sample Rate                     : 44100
Avg Bytes Per Sec               : 88200
Bits Per Sample                 : 16
Date Created                    : 
ID3 Size                        : 95
Title                           : 
Comment                         : 
Artist                          : 
Album                           : 
Warning                         : [minor] Frame 'TDRC' is not valid for this ID3 version
Recording Time                  : 
Genre                           : Drum & Bass
Date/Time Original              : 
Duration                        : 17.10 s

 

스펙트럼 분석

Perplexity:
오디오 파일의 스펙트럼을 분석하는 것은 매우 효과적인 방법입니다. Audacity 또는 Sonic Visualiser를 사용하여 스펙트로그램을 확인합니다. 스펙트럼에 숨겨진 이미지, 텍스트 또는 패턴을 찾습니다. Sonic Visualiser에서는 "Pane -> Add peak frequency spectrogram" 기능을 사용하면 더 선명한 결과를 얻을 수 있습니다.

 

Sonic Visualiser를 설치해줍시다.

상단의 Pane 탭에서 Add ... ~를 하나씩 눌러본다.

waveform을 눌렀더니 아래와 같은 파형이 나온다.

아래는 0, 위는 1로 생각하니 8비트씩 한 묶음으로 보인다.

파이썬 자동화를 생각했으나 안먹히니 빠르게 수작업으로 추출해보자.

01000001 = A
01000011 = C
01000101 = E
01000011 = C
01010100 = T
01000110 = F
01111011 = {
00110101 = 5
00110011 = 3
01100011 = c
01110101 = u
01110010 = r
00110001 =1
01101110 = n
00110110 = 6
01110111 = w
00110011 = 3
01100010 = b
01111101 = }

 

ACECTF{53cur1n6w3b}

 

 

Reference

 

https://hcs-team.com/blog/acectf-2025/