OtterCTF Writeup Network Otter Leak 200

Network

Otter Leak 200

We found out that one of the Otters been leaking information from our network! Find the leaked data.

Format: CTF{flag all uppercase}

 パケットをざっと確認するとなにかのAPIで通信しているパケットのようだ。

f:id:Yunolay:20181210224801p:plain

HTTP Objectからxmlを復元したが、フラグにつながるようなものは確認できなかった。

通信しているプロトコルを確認するとSMB2で通信を行っていた。

f:id:Yunolay:20181210224931p:plain

f:id:Yunolay:20181210225138p:plain

オブジェクトからエクスポートしてみる。

f:id:Yunolay:20181210225225p:plain

画像をバイナリエディタで確認すると1文字ずつ送られていた。

f:id:Yunolay:20181210225418p:plain

書きやすいように適当なリネームソフトを探してファイルをリネームしてからつなげた。

「お~瑠璃ね~む」さまざまな方法でファイル名を一括変更できるリネームソフト - 窓の杜

# solve.py

s =''
for i in range(0, 88):
    f = open('crop-smart' + '{0:02d}'.format(i) + '.jpg', 'r')
    s += f.read()
print s

 

LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0=

 出てきた文字列をBase64でデコードする。

C:\Users\Aqua>echo LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0= | base64 -d
-- ----- .-. ..... . --- - --... ...-- .-. .. -. -... -.... .... 

 モールス信号っぽいものが出てきたのでオンラインデコードに投げた。

morsecode.scphillips.com

f:id:Yunolay:20181210230526p:plain

FLAG:CTF{M0R5EOT73RINB6H}