2020年12月3の21:30 - 12月4日21:30 で行われていた、Shakti CTF 2020の [Forensics] 分野のwriteupです。
※ まとめはこちら tech.kusuwada.com
Shark on Wire [Very Easy]
Lara sent me a file which had some hidden message. Help me recover the secret information.
Author : v1Ru5
network1.pcapngが配布されます。
wiresharkで開いて見る前にstringsコマンドで出てきた。
$ strings network1.pcapng | grep ctf{
(略)
Hello all! To make this more interesting, we'll play a game. We'll give you clues about the person, her achievements, profession, etc. in each challenge and you'll have to find the person's name which might give you knowledge about Women in Cyber Security and their achievements. This game has nothing to do with the CTF or the flag. Let's begin! I was an actress, inventor and film producer. Who am I? And here is your flag : shaktictf{wir3sh4rk_i5_ju5t_aw3s0m3}
Zip Zap Zoo [Easy]
We have hidden an important information for you in this file. But remember, it's not always about bruteforcing...
Author : v1Ru5
challange.zipが配布されます。
一度unzipコマンドで解凍してみると、file.zipというdataファイルが出現します。
どうもzipファイルとして壊れているようなので、バイナリエディタで見てみます。
おや!最後の方にPasswordが書いてある!
Password:h4ckTh35t3R30tyP35
とりあえずメモして、Headerだけ正規のzipのものと入れ替えたりしつつ、ダメ元でforemost使って中身を分解してもらいました。
$ foremost file.zip Processing: file.zip |foundat=flag.txtUT *|
おや!なんか取り出せたっぽい!outputを見に行くと
$ tree
.
├── audit.txt
├── png
│ ├── 00000000.png
│ └── 00009849.png
└── zip
└── 00000000.zip
おお!画像ファイルとzipファイルに分かれた!画像ファイルを確認したところ、特に怪しいところがなかったのと、さっきのパスワードを使いそうなのでzipを解凍してみる。
$ unzip 00000000.zip Archive: 00000000.zip [00000000.zip] flag.txt password: inflating: flag.txt
ヤッター!flag.txtが抽出できました。
$ cat flag.txt ONUGC23UNFRXIZT3PE2HSWKZPF4VSIK7LEYHKX3HGB2F6MLUL42DAOJVGE2TGOJYPU======
base64かな?と思ったけどうまくdecodeされない。最後のpaddingの数も多すぎる気がする。
base32でdecodeすると、flagになりました🙌
flag: shaktictf{y4yYYyyY!_Y0u_g0t_1t_409515398}
感想
正直これ以上の問題には時間的に手が回らなかったので、もし問題が公開されるなら復習したいな。