← Back to Tomes

Sec Playground Hackloween 2025: Anabelle's SecretSec Playground Hackloween 2025: Anabelle's Secret

Welcome back everyone — but things are a little different this time. Wowza, our team, nailed it and we took 1st place in this competition.

Since we placed first, we probably won't be back at this event — so this write-up is the last one for the Sec Playground series. If there's another chance, maybe we'll meet again.

Enough intro — let's talk about the challenge.

Anabelle's Secret — Cryptography category

The challenge description was sparse — just find the real name of someone "above" Anabelle. But who?????
Stop talking, download the file.

Okay, opening it is a bit creepy — but that's not the point. What we need is a name…
The moment I saw an image file, one tool immediately came to mind:
Stegseek (https://github.com/RickdeJager/stegseek)

Dead simple to use:
stegseek + image file + wordlist

stegseek Annabelle.png ~/Downloads/rockyou.txt

We get a decoded file if the image has hidden data — and in this challenge it did.

The output file is Anabelle.png.out — a plain text file, readable directly.

Looking at the content, only one thing comes to mind: Morse Code.
Let's decode it.

The first decoder gave the wrong result, so I tried a second one.

Incorrect output
Correct output

We got the name: JANE_DOE_IS_MY_NAME. You might wonder why the surname DOE matches John Doe — Jane is the female equivalent. "John Doe" (male) and "Jane Doe" (female) are placeholder names used in legal contexts to represent unidentified or anonymous individuals.

Now submit in the correct format: Cryptography{JANE_DOE_IS_MY_NAME}

That was wrong — the answer required specific capitalisation. The correct flag was Cryptography{Jane_Doe_is_my_name}.

That's a wrap for Hackloween 2025. I didn't grab screenshots of the other challenges — if you want me to add wiki 1 and wiki 2, DM me the screenshots.

Signing off with a meme as always.

Finally, thanks to SECPLAYGROUND for a great event :) See you around!

— — — — — — — — See you again— — — — — — — —

Profile
Sabastiaz
Medium
: https://medium.com/@sabastiaz
LinkedIn: https://www.linkedin.com/in/ratthapong-sommanus-465b661b2/

กลับมาพบกันอีกแล้วนะครับแต่ครั้งนี้มีการเปลี่ยนแปลงเล็กน้อยนะครับ Wowza ของเราได้ประสบความสำเร็จเป็นที่เรียบร้อยซึ่งการแข่งรอบนี้เราได้ที่ 1 ครับ

ซึ่งเมื่อเราได้ที่ 1 แล้วนั่นหมายความว่าเราคงไม่ได้พบกันอีกแล้ว write up นี้จึงเป็นครั้งสุดท้ายของการแข่งขันของ Sec Playground หากมีโอกาสคงได้พบกันอีก

เกริ่นมาเยอะและ มาพูดถึงโจทย์ดีกว่า

Anabelle’s Secret หมวด Cryptography

ตัวโจทย์ไม่ได้บอกไรมากให้เราหาชื่อจริงของคนๆ นึงที่เหนือกว่า Anabelle ว่าแต่ใครหว่าาา?????
ไม่พูดพล่ามทำเพลง Download ไฟล์ออกมาดูสิ

โอ้ววเปิดตอนนี้ก็น่ากลัวเหมือนกันนะ แต่นั่นไม่ใช่ประเด็นสิ่งที่เราต้องหาคือชื่อ….
เมื่อได้ภาพมาในหัวนึกถึง Tools 1 ตัว นั่นคือ 
Stegseek (https://github.com/RickdeJager/stegseek)

วิธีใช้ง่ายมาก
stegseek + ไฟล์ภาพ + wordlist

stegseek Annabelle.png ~/Downloads/rockyou.txt

เราจะได้ไฟล์ที่ถูกถอดค่าออกมาถ้าไฟล์ภาพมีการเข้ารหัสไว้นะ ซึ่งในโจทย์บังเอิญว่ามันเข้ารหัสไว้

จะได้ไฟล์ที่ชื่อ Anabelle.png.out ออกมาซึ่งข้างในเป็นไฟล์ text อ่านได้เลย

เห็นแบบนี้นึงออกอย่างเดียวนั่นคือ Morse Code 
ไปถอดค่ามันออกมากัน

ลิ้งค์แรกถอดค่าออกมาไม่ถูกเลยลองไปอีกลิ้งค์

ค่าออกมาไม่ถูกต้อง
ค่าออกมาถูกต้อง

ได้ชื่อมาเรียบร้อยนั่นคือ JANE_DOE_IS_MY_NAME ทุกคนคงสงสัยทำไมนามสกุล DOE เหมือน John Doe เลย นั่นเพราะว่า Jane เอาไว้เอ่ยสำหรับเพศหญิง ส่วน John เพศชาย (John Doe” (สำหรับผู้ชาย) และ “Jane Doe” (สำหรับผู้หญิง) คือ ชื่อสมมติที่ใช้ในระบบกฎหมายและวงการอื่น ๆ เพื่อแทนบุคคลที่ไม่ทราบชื่อจริงหรือไม่ต้องการเปิดเผยตัวตน โดยใช้แทนศพที่ไม่ทราบชื่อ คนในคดีที่ยังไม่สามารถระบุตัวตน หรือเพื่อใช้เป็นตัวอย่างในการกรอกแบบฟอร์ม)

ที่นี้ตอบให้ตรง Format Cryptography{ JANE_DOE_IS_MY_NAME}

ปรากฏว่าไม่ถูกเพราะคำตอบต้องมีการปรับพิมพ์เล็กพิมพ์ใหญ่ซึ่งคำตอบที่ถูกจริงๆ คือ Cryptography{Jane_Doe_is_my_name}

ก็จบไปแล้วกับ write up Hackloween 2025 ผมไม่ได้แคปพวกโจทย์ข้ออื่นไว้เลยอยากทำข้อ wiki 1 กับ wiki 2 เพิ่มนะครับใครมีรูปส่งให้ทางหลังไมค์ได้นะครับ

ขอลาไปด้วยมีมเช่นเคย

สุดท้ายนี้ขอบคุณกิจกรรมดีจากทาง SECPLAYGROUND :) แล้วพบกันใหม่ครับ

— — — — — — — — See you again— — — — — — — —

Profile
Sabastiaz
Medium
 : https://medium.com/@sabastiaz
Linkedin: https://www.linkedin.com/in/ratthapong-sommanus-465b661b2/