SUNCTF2020 ネットワーク セッション camera510PC7 担当分

Transcript

1. ©2020 Cyber研究会 ネットワーク ～セッション～

2. ©2020 Cyber研究会 .pcapng ファイルが配られたら Wiresharkで開いてみましょう ウィキペディア（Wikipedia）より

3. ©2020 Cyber研究会 次にパケットを見ていこう Dataと書かれた場所があれば、 ここで実際にデータをやり取り している ↓ CTFを解く上で重要な手がかり になる

4. ©2020 Cyber研究会 次にパケットを見ていこう Dataの中身をよく見るとアルファベット と数字が書かれている

5. ©2020 Cyber研究会 データの形式について コンピュータは入力された文字列を必ずしもそのまま送信してい るわけではない。何かしら形式を変えている場合がある。 • ０から9までの数字とaからfまでのアルファベット でできている場合→16進数(hex)として復号 • 数字、アルファベット（大文字、小文字）、（プラス

   記号、スラッシュ）が混ざっている、(最後にイコー ルがある）→Base64として復号

6. ©2020 Cyber研究会 データの形式について コンピュータは入力された文字列を必ずしもそのまま送信してい るわけではない。何かしら形式を変えている場合がある。 元の文 Base64 16進数 サンプルテキスト 44K144Oz44OX44

   Or44OG44Kt44K54 4OI e382b5e383b3e383 97e383abe38386e3 82ade382b9e38388 TEST VEVTVA== 54455354

7. ©2020 Cyber研究会 バイナリファイルについて パケットの中には復号すると以下のような変な文字列 になるものもある

8. ©2020 Cyber研究会 バイナリファイルについて これはバイナリファイルといって、 2進数(0と1)だけで作られている ファイルを表している 無理やり文字として表示させてい るため、変な文字列となる

9. ©2020 Cyber研究会 バイナリファイルについて この変な文字列の最初をみることによってファイルの 種類を特定することができる 始まる文字列 ファイルの種類 PK Zipファイル 臼NG

   PNG画像 %PDF PDFファイル MZ Windows実行ファイル

10. ©2020 Cyber研究会 バイナリファイルについて この変な文字列の最初をみることによってファイルの 種類を特定することができる この場合PKから始まっているので Zipファイルだとわかる

11. ©2020 Cyber研究会 バイナリファイルを見つけたら CyberChefのOutputの右側にある保存ボタンから適当な ファイル名と拡張子(ファイル形式)をつけてダウンロード する