Monstrum ex Machina で用いたファイルについて、 Luciafer に送られたメッセージを要求された。
pcap-challenge-final.pcapng に strings コマンドを適用した結果から、
問題文にあった Stay away from Lytton Labs... you have been warned. を検索すると、以下の行が見つかった。
Regarding the file used in Monstrum ex Machina, the message sent to Luciafer was asked.
I searched for Stay away from Lytton Labs... you have been warned., which was in the challenge descryption, from the output of the strings command for the file pcap-challenge-final.pcapng, and found this part:
さらに、この行から上に見ていくと、以下の行が見つかった。
Then, I scrolled up from this line and found this line:
さらに、ここから上に message を検索すると、以下の行が見つかった。
Then, I searched for message upwards from here, finding this line:
そこで、pcap-challenge-final.pcapng を開き、
フィルタ ip.addr == 192.168.100.105 && tcp.port == 80 を適用した。
そして、表示された GET /da-warning-message.jpg HTTP/1.1 の行を右クリックし、「追跡 → HTTPストリーム」を選択した。
さらに、「としてデータを表示」を「Raw(無加工)形式」にし、「…として保存」でデータを保存した。
保存したデータにextracted_at_0x1b9.jpg などが得られた。
このファイル extracted_at_0x1b9.jpg は、flagが書かれた画像ファイルだった。
Seeing this, I opned the file pcap-challenge-final.pcapng on ip.addr == 192.168.100.105 && tcp.port == 80.
Then, I right-clicked the line with GET /da-warning-message.jpg HTTP/1.1 in the list and selected "Follow → HTTP Stream".
After that, I set "Show data as" to "Raw" and saved the data via "Save as…".
I applied "Extract Files" on extracted_at_0x1b9.jpg and some other files.
The file extracted_at_0x1b9.jpg was an image file where the flag was written.