the stuff

Misc (50 pts)

Can you believe Ryan uses Bing?

ダウンロードしたファイルを解凍すると、パケットキャプチャファイル「the_stuff.pcapng」ができます。まず、stringsコマンドでflagという文字列を探してみます。次のとおりヒットします。

$ strings the_stuff.pcapng | grep flag
Content-Type: application/zip; name="flag.zip"
Content-Disposition: attachment; filename="flag.zip"

該当のパケットをWiresharkで確認してみます。パケット詳細の文字列検索で「flag.zip」で検索します。次のとおり見つかります。


no title

該当のパケットを右クリックして、「追跡」→「TCPストリーム」を選択します。次のとおり、BASE64でエンコードされたflag.zipファイルが出てきます。


1

BASE64エンコードデータの部分をコピペしてデコードしたデータをflag.zipとして保存します。このファイルを解凍するには、パスワードが必要なようです。パケットキャプチャファイルにヒントがないか調べてみます。passwordという文字列を検索してみると、次のとおりヒットしました。

$ strings the_stuff.pcapng | grep password
Yo, you'll need this too: super_password1

「super_password1」というパスワードでzipファイルを解凍すると、次のとおりflag.jpgファイルが出来ます。


flag

したがって、フラグは、

PCTF{LOOK_MA_NO_SSL}

です。