the stuff
Misc (50 pts)
Can you believe Ryan uses Bing?
ダウンロードしたファイルを解凍すると、パケットキャプチャファイル「the_stuff.pcapng」ができます。まず、stringsコマンドでflagという文字列を探してみます。次のとおりヒットします。
$ strings the_stuff.pcapng | grep flag
Content-Type: application/zip; name="flag.zip"
Content-Disposition: attachment; filename="flag.zip"
該当のパケットをWiresharkで確認してみます。パケット詳細の文字列検索で「flag.zip」で検索します。次のとおり見つかります。
該当のパケットを右クリックして、「追跡」→「TCPストリーム」を選択します。次のとおり、BASE64でエンコードされたflag.zipファイルが出てきます。
BASE64エンコードデータの部分をコピペしてデコードしたデータをflag.zipとして保存します。このファイルを解凍するには、パスワードが必要なようです。パケットキャプチャファイルにヒントがないか調べてみます。passwordという文字列を検索してみると、次のとおりヒットしました。
$ strings the_stuff.pcapng | grep password
Yo, you'll need this too: super_password1
「super_password1」というパスワードでzipファイルを解凍すると、次のとおりflag.jpgファイルが出来ます。
したがって、フラグは、
PCTF{LOOK_MA_NO_SSL}
です。