Eyes, JAPAN Blog > CSAW 2014::Forensics 200::Why not sftp?

CSAW 2014::Forensics 200::Why not sftp?

beko

この記事は1年以上前に書かれたもので、内容が古い可能性がありますのでご注意ください。

こんにちは。杉山です。

今週も先週に引き続き、Write Upの記事を書いていきたいと思います。

よろしくお願いします!

さて、今回はCSAW CTF 2014 予選で出題されて自分が解いた問題の内からForensics(ほぼネットワーク!?)の問題についてWrite upを書いていきたいと思います。

Why not sftp?(200point)

——————————————————————————————-

まずこの問題ではpcapファイルが渡されました。問題の題名と比較的得点の低い問題ということから、ファイルの転送プロトコルに sftpを使わずftpを使っていてそこにフラグがあるのだろうと自分は予想して、とりあえずpcapファイルを見てみました。

pcapファイルをftpのパケットをフィルターして見たところzip.zipというなにやら怪しいzipファイルをftpでダウンロードしているパケットを発見しました。

20141102185321

そこからさらにFTP-DATAをフィルターしてzip.zipファイルというファイルを抽出しようと考え、FTP-DATAをフィルターし、Follow TCP Streamをしてこの通信のセッション内容を表示させ、さらにzipファイルとして保存して解凍してみると以下のようなflag.pngというflagが書かれた画像ファイルがでてくる。

20141102185348

20141102185059

—————————————————————————————-

今回も比較的簡単な問題だったでしょうか!?この問題はWiresharkの基本的な使い方とftpの基本的な知識があれば簡単に解けます。CTFではよくpcapファイルを解析する問題がよく出題されるのでWiresharkの使い方はしっかり押さえといたほうが良いでしょう。

次回は佐藤さんです。お楽しみに!!

Comments are closed.