CpawCTF Writeup Level 2　前半

---

こんばんは。今回からLevel2です。
ここからは初心者にとっては少しだけ難易度が上がると思います。
が、まだまだ簡単な方なのでサクサク行きましょう。

隠されたフラグ

---

こちらの問題は画像ファイルから隠されたフラグを探すというもの。
ヒントにあるように隅っこに黒い点と棒が付いています。
点と棒と言えばモールス信号です。復号しましょう。

Redirect

---

問題文のURLをクリックすると別サイトへリダイレクトされるのでリダイレクト元サイトを何とかして覗く問題です。
Level1の問題でも使った開発者ツールを使って解きます。
開発者ツールのNetworkタブでページの遷移を監視することができ、更にそのヘッダーを見ることが出来ます。そこにフラグがあります。

HTTP Traffic

---

Level1でもつかったpcapファイルの問題です。今回もWiresharkで解きます。
目的はページの復元なので読み込んだ後
ファイル→オブジェクトをエクスポート→HTTPを選択します。
ここでNetwork100ファイルとfavicon.icoファイルが２つずつあります。
これらはHTTPストリームを追跡してパケットの中身を見てみるとわかります。favicon.icoは同じもので、Network100ファイルはメモリの小さいほうがエラーページ、大きいほうが今回の復元対象のページであることがわかります。ここで.icoファイルはアイコンのファイルなので実はあんまり必要ないです。適当なフォルダにエクスポートした後、いらないファイルを消します。さらにNetwork100ファイルにhtml拡張子をつけます。
一旦現在の状況をのせます。

現在のフォルダの状態

現在のページの状態

このようにこのままではフラグもボタンもありません。
ここでhtmlファイルを覗いてみましょう。
各所に先ほど保存したファイルと同名の記述が見つかるかと思います。
これはパス指定なのでそこに記述されている通りにフォルダを作成、ファイルを移動していきます。そしてもう一度htmlファイルを開くと、復元が完了しているというわけです。

Who am I ?

---

これは問題作者のTwitterのなかでプレイしているゲームのユーザーネームを探すという問題です。
Twitterの検索には実はコマンドがあり、それをうまく使うことで探すことが出来ます。詳しいコマンドについては検索してみてください。
気合いでいろいろなワードで検索していくことが大事な問題です。

leaf in forest

---

pc拡張子のないファイルにはLinuxのfileコマンドです。
fileコマンドを使って調べるとどうやらpcapファイルのようです。
ではWiresharkを使って…と見せかけて実はこれでは開けません。
では今度はバイナリエディタを使って開いてみましょう。
すると、なんということでしょう。
一面にlovelive!の文字が。
これはpcapに偽装されたテキストファイルでした。
なのでtxt拡張子をつけて再度開くと見やすくなるかと思います。
最初に出てくるであろう"ﾔﾃｲ。"から始まる文字列はpcapに偽装していた部分なので気にしなくて大丈夫です。
このファイルを眺めていると一部違う文字が入っている部分が見つかります。これを目で見て探してもよし、コードを書いてlovelive!部分を削除してみてもよしです。残った部分がフラグです。

---

Level2前半は以上です。
振り返ってみると画像を増やした方がわかりやすいかなと思いました。
次回からそうしてみます。
ではまた。

前回

次回