好奇心の足跡

飽きっぽくすぐ他のことをしてしまうので、忘れないため・形にして頭に残すための備忘録。

setodaNote CTF writeup [Network]

これは、2021/8/21~2021/9/4の期間で開催された、setodaNote CTFの Network 分野のwriteupです。全体writeupはこちら

tech.kusuwada.com

Host (30)

あなたはある通信を保存したファイルを受け取りました。添付されたファイルを解析し、通信先の Web サーバのホスト名を特定してください。

フラグはホスト名をフラグ形式で答えてください。例えばホスト名が host.example.com であった場合、フラグは flag{host.example.com} となります。

pcapファイルが配布されます。
wireshakで開いてみて、GETしている行を見てみるとHostが書いてありました。

f:id:kusuwada:20210904224314p:plain

もしくはそのままpcapファイルをstringsコマンドで見ても出た。

$ strings host.pcap | grep Host
Host: ctf.setodanote.net

tkys_never_die (50)

うまく爆発を避けれられているといいが。爆発音とともに通信が途切れる間際、後輩からデータが送られてきました。ターゲットが重要なファイルにアクセスしたことを示す証拠だと言い残して。後輩のためにもデータを解析し、重要なファイルの内容を特定してください。

添付されたファイルを解析し、フラグを得てください。

またpcapファイルが渡されます。
strinigsコマンドでファイルを見てみると、どうやらflag.html,flag.pngといったデータをやり取りしてるみたいです。

$ strings tkys_never_die.pcap | grep flag
GET /flag.html HTTP/1.1
    <img src="./flag.png" alt="flag.png" title="The Flag">
GET /flag.png HTTP/1.1
Referer: http://ctf.setodanote.net/flag.html

wiresharkで該当ファルを開き、File > Export Objects > HTTP で抽出してみると、flagが記載されたpngが出てきました。

f:id:kusuwada:20210904224409p:plain:w400

echo_request (120)

組織内の通信を監視している部署から不審な通信データがあるので解析をしてほしいと依頼がありました。通信自体は許可されたプロトコルが使用されているようですが、、、

添付されたファイルを解析し、フラグを入手してください。

pcapファイルが配布されます。
wiresharkで開いてみると、ICMP Protocolの通信が使われていて、その行のInfoにEcho (ping) request ...と書いてあるので、このプロトコルの通信が怪しい。

このプロトコルの通信の中の、L29~ のデータを覗いてみると、66, 6c, ... とascii codeの16進表記でflとなりそうな予感。データをL29~L54(7d)まで抽出してhex -> ascii変換すると、flag{ICMP_Tunneling_T1095}になりました。

stay_in_touch (150) [未solve]

あなたはある事件の調査としてある人物の通信を監視しています。どうやら誰かと連絡を取り合っているようです。通信データファイルを解析し、やりとりの内容を明らかにしてください。

添付されたファイルを解析し、フラグを入手してください。

またもやpcapファイルが配布されます。Network問だから基本パケットを解析するのかな。
今回はメールのやりとり、IMAP通信が肝のようです。

が、パケットの海を眺めても何も出てこなかった。要復習。

yes_you_can (150)[未solve]

精密機械の技術者である古い友人から一通の封筒が送られてきました。中にはあなたに解析してほしいと震えた筆跡で書かれた手紙と1枚の SD カード。SD カードの中には1つのファイルが記録されていました。

添付されたファイルを解析してフラグを入手してください。

dump.logが配布されます。これは車系のCAN通信っぽいぞ!

この辺を参考にしながら環境を構築し、dumpファイルから操作を再生すると、何かわかりそう。

$ cat dump.log | canplayer

先程のICSimを動かすためにmakeする必要があるのだけど、Ubuntu 20.04 にはmakeが入ってなかったのでこちらも合わせて参考にしつつ環境構築。

やっと動かせたので動かしてみると、速度メーターがブンブン動くだけでflagっぽいものは見つからない。これは動いた軌跡を追跡したりする必要がある…?

というところで力尽きた。解法が気になる。