2013年9月29日日曜日

tkbctf2 Writeup/Do it

Forensicsの200点問題

問題文
Find the suspected user. https://s3-ap-northeast-1.amazonaws.com/tkbctf2/doit.7z

7zipを解凍するとletsdoit-check.pcapっというファイルが出てきました。


とりあえずNetworkMinerに入れてみた。
しかし、時間がかかりそうだったのでこっちは放置して

バイナリエディタにつっこんで中身を見ることにしました。

ASCIIのところだけさーっと眺めていたら
profile/icon_tn#1379985277っという気になる文字列があったので

http://yoctfs.jp/res/ident-dtlwsz7jjmomapjjxiqu3gzjgi/profile/icon_tn#1379985277

このURLに飛んでみると
FLAG IS BADCAB1E と書かれたファイルがありこれが答えだった。


その後NetworkMinerの結果を見るとイメージのところに同じ画像がありました。


やはり目grep!!!


後で
http://yoctfs.jp/res/ident-dtlwsz7jjmomapjjxiqu3gzjgi/profile/icon_tn#1379985277
ここに飛んだら画像が変わっていてびっくりしました、、、

0 件のコメント:

コメントを投稿