Save 37% off PRO during our Black Friday Sale! »

SUNCTF2020 ネットワーク セッション camera510PC7 担当分

SUNCTF2020 ネットワーク セッション camera510PC7 担当分

3295c9d02ce3afee0e7fbda367262c2e?s=128

camera510PC7

March 07, 2020
Tweet

Transcript

  1. ©2020 Cyber研究会 ネットワーク ~セッション~

  2. ©2020 Cyber研究会 .pcapng ファイルが配られたら Wiresharkで開いてみましょう ウィキペディア(Wikipedia)より

  3. ©2020 Cyber研究会 次にパケットを見ていこう Dataと書かれた場所があれば、 ここで実際にデータをやり取り している ↓ CTFを解く上で重要な手がかり になる

  4. ©2020 Cyber研究会 次にパケットを見ていこう Dataの中身をよく見るとアルファベット と数字が書かれている

  5. ©2020 Cyber研究会 データの形式について コンピュータは入力された文字列を必ずしもそのまま送信してい るわけではない。何かしら形式を変えている場合がある。 • 0から9までの数字とaからfまでのアルファベット でできている場合→16進数(hex)として復号 • 数字、アルファベット(大文字、小文字)、(プラス

    記号、スラッシュ)が混ざっている、(最後にイコー ルがある)→Base64として復号
  6. ©2020 Cyber研究会 データの形式について コンピュータは入力された文字列を必ずしもそのまま送信してい るわけではない。何かしら形式を変えている場合がある。 元の文 Base64 16進数 サンプルテキスト 44K144Oz44OX44

    Or44OG44Kt44K54 4OI e382b5e383b3e383 97e383abe38386e3 82ade382b9e38388 TEST VEVTVA== 54455354
  7. ©2020 Cyber研究会 バイナリファイルについて パケットの中には復号すると以下のような変な文字列 になるものもある

  8. ©2020 Cyber研究会 バイナリファイルについて これはバイナリファイルといって、 2進数(0と1)だけで作られている ファイルを表している 無理やり文字として表示させてい るため、変な文字列となる

  9. ©2020 Cyber研究会 バイナリファイルについて この変な文字列の最初をみることによってファイルの 種類を特定することができる 始まる文字列 ファイルの種類 PK Zipファイル 臼NG

    PNG画像 %PDF PDFファイル MZ Windows実行ファイル
  10. ©2020 Cyber研究会 バイナリファイルについて この変な文字列の最初をみることによってファイルの 種類を特定することができる この場合PKから始まっているので Zipファイルだとわかる

  11. ©2020 Cyber研究会 バイナリファイルを見つけたら CyberChefのOutputの右側にある保存ボタンから適当な ファイル名と拡張子(ファイル形式)をつけてダウンロード する