BSsideSF 2019 CTF 101 Forensics zippy

zippy

Can you read the flag from the PCAP?

pcapngをWiresharkで開くとTCPで通信しているのが分かる。

f:id:Yunolay:20190306153055p:plain

とりあえずfollow tcp

f:id:Yunolay:20190306153127p:plain

zipで保存してパスワードを使用して解凍しているのが分かる。 次に一番パケットの中で一番大きいパケットに注目する。

f:id:Yunolay:20190306153242p:plain

明らかにzipなのでrawで拡張子をzipで保存する。

f:id:Yunolay:20190306153320p:plain

あとはパスワードを使用して解凍するとフラグが得られる。

$ cat flag.txt
CTF{this_flag_is_your_flag}

FLAG : CTF{this_flag_is_your_flag}