PicoCTF — Forensics: Hidden in Plain Sight
Análisis de un reto de forense básico donde ocultaban datos en metadatos de una imagen PNG.
Descripción del reto
Se nos entrega un archivo
flag.png. “La flag está ahí, solo hay que saber mirar.”
Categoría: Forensics
Puntos: 100
Plataforma: PicoCTF
Reconocimiento inicial
Lo primero que hago con cualquier archivo es identificarlo con file y ver sus metadatos:
$ file flag.png
flag.png: PNG image data, 800 x 600, 8-bit/color RGB, non-interlaced
$ exiftool flag.png
ExifTool Version Number : 12.60
File Name : flag.png
...
Comment : picoCTF{h1dd3n_1n_m3t4d4t4}La flag estaba directamente en el campo Comment de los metadatos EXIF.
Solución
exiftool flag.png | grep -i comment
# Comment: picoCTF{h1dd3n_1n_m3t4d4t4}Flag: picoCTF{h1dd3n_1n_m3t4d4t4}
Lecciones
- Siempre revisar metadatos antes de análisis más profundo.
exiftooles indispensable en forense de imágenes.- Los campos EXIF como
Comment,Description,Authorson escondites frecuentes en CTFs de nivel entry.
Herramientas usadas
| Herramienta | Uso |
|---|---|
file | Identificar tipo de archivo |
exiftool | Leer/escribir metadatos EXIF |
strings | Buscar cadenas imprimibles |