こんにちは。杉山です。

今週も先週に引き続き、Write Upの記事を書いていきたいと思います。

よろしくお願いします！

さて、今回はCSAW CTF 2014 予選で出題されて自分が解いた問題の内からForensics(ほぼネットワーク!?)の問題についてWrite upを書いていきたいと思います。

Why not sftp?(200point)

-------------------------------------------------------------------------------------------

まずこの問題ではpcapファイルが渡されました。問題の題名と比較的得点の低い問題ということから、ファイルの転送プロトコルに sftpを使わずftpを使っていてそこにフラグがあるのだろうと自分は予想して、とりあえずpcapファイルを見てみました。

pcapファイルをftpのパケットをフィルターして見たところzip.zipというなにやら怪しいzipファイルをftpでダウンロードしているパケットを発見しました。

そこからさらにFTP-DATAをフィルターしてzip.zipファイルというファイルを抽出しようと考え、FTP-DATAをフィルターし、Follow TCP Streamをしてこの通信のセッション内容を表示させ、さらにzipファイルとして保存して解凍してみると以下のようなflag.pngというflagが書かれた画像ファイルがでてくる。

----------------------------------------------------------------------------------------

今回も比較的簡単な問題だったでしょうか!?この問題はWiresharkの基本的な使い方とftpの基本的な知識があれば簡単に解けます。CTFではよくpcapファイルを解析する問題がよく出題されるのでWiresharkの使い方はしっかり押さえといたほうが良いでしょう。

次回は佐藤さんです。お楽しみに！！