おさらいnote~第9回#8 Basic is Secure?~

どうも。明日はTOEICのIPです、宮下です。(やばい)
今日はksnctfの第八問目、Basic is secure? を解いていきたいと思います！
よろしくお願いします！

問題の把握

配点：50
配布ファイル：q8.pcap
問題はこちらから

前置き説明(わかる方は読まなくておーけーです)

・pcap形式とは…ネットワークトラフィックを監視するためにアプリケーションで使用されるファイル形式
・ネットワークトラフィックとは…インターネットなどのネットワークを通じて送受信される情報

以上からまとめると、ネットワークを通じ送受信される情報(ログイン情報など様々)を監視するためのアプリケーションで使用されるファイル形式です。

・Basicとは…おそらくBasic認証だと思われます。Basic認証とは、皆さんがネットを使う際に使用するプロトコル”HTTP”が持つ、最も基本的なユーザー認証方式です。
おそらく画像を見ればぱっとすると思うのでBasic認証で調べてみてください笑

解いていく

まず、探索です。
q8.pcapの中身をメモ帳で見てみます。

文字化けした文字、なんらかの情報や、HTMLのコードが確認できると思います。
んん、35行目に怪しいものがありました。

Authorization: Basic cTg6RkxBR181dXg3eksyTktTSDhmU0dB

日本語に訳すと認証：Basic　謎の羅列っていう感じです。
つまり、Basic認証を行う際はこの羅列を使ったようですね。

さらに、この羅列の傾向としてアルファベットと数字のみで構成されています。このことからBase64が使われているのではないでしょうか？

物は試しです！コマンドプロンプトでデコードしてみましょう！

certutil -f -decode "ans.txt" "ans.txt"
base64.txtはBase64の羅列が入っている。
ans.txtは空ファイルで、デコード結果が上書きされる。

どうでしょうか。ans.txtを確認してみましょう。

FLAGが出てきました！早速確認してみましょう。

いえーい！ナイスです！！

もう一つの解答法

Wiresharkというソフトを使うことでも確認することができます。
まず、HTTP関連の情報のみを抽出したいため、表示フィルタからhttpを入力してください。

No.9でBasic認証要求しているので、成功していればその次に情報がのっているのではないでしょうか。
No.13を右クリック＞追跡＞HTTPストリームから確認してみましょう！

同じものが確認できました！
後は先ほどと同じくデコードしてFLAGゲットです！
お疲れ様でした！