2014年5月11日日曜日

ASIS CTF writeup /forensic 150



ファイルをダウンロードするとxzで圧縮されていたので解凍
中にはpcapファイルが入っていた

とりあえずバイナリエディタで中身を見るとpcapの中にpcapファイルが入っていた


 これを抜き出してWiresharkで開くと

The capture file appears to be damaged or corrupt.
(pcap: File has 356738353-byte packet, bigger than maximum of 65535)


うまく開かなかったので↓のサイトで修復してもらった
http://f00l.de/hacking/pcapfix.php

修復後のファイル

開けるようになったがバイナリエディタのほうが見やすかったのでバイナリエディタで見る

%FAKE-HEADER 

%%Creator: ASIS-CTF-QUALS 100 (QUALS2014)

%%LanguageLevel: 2

%%CreationDate: D:20140506141008+04'30'

%%For: (username)

%%Title: (geany job #8)

%RBINumCopies: 1

%%Pages: (atend)

%%BoundingBox: (atend)

%%EndComments

%%BeginProlog

currentfile /ASCII85Decode filter /LZWDecode filter cvx exec



こんなものがあったのでWiresharkのTCP Follow Streamで抜き出してRawで保存
何かPDFっぽい何かがあったのが何かわからなかったのでいろいろとぐぐる

currentfile /ASCII85Decode filter /LZWDecode filter cvx exec
これで検索すると

https://www.assembla.com/code/wysiwyg/subversion/nodes/1/image%20files/aperture.eps
こんなサイトが、epsファイルらしい?

PostScriptによって記述されたベクタ形式の画像データ

ということで %FAKE-HEADERを%!PS-Adobe-3.0 EPSF-3.0これに変えると


flag:ASIS_54ca36b2e3e49fc30e566c1de0589f38



0 件のコメント:

コメントを投稿