Monstrum ex Machina で用いたファイルについて、 ポートスキャンの結果開いているポートの番号 (16384以上のものを除く) を要求された。
The SUM of All FEARS での解析結果より、攻撃対象は 192.168.100.103 であると推測した。
pcap-challenge-final.pcapng をip.addr == 192.168.100.103 && tcp.port < 16384 でフィルタをかけてみると、
攻撃者の [SYN] のパケットとサーバの [SYN, ACK] のパケットが同じ色で表示され、見にくいことに気がついた。
そこで、サーバの応答のみを表示するため、フィルタを ip.src == 192.168.100.103 && tcp.srcport < 16384 とした。
すると、大量の [RST, ACK] のパケットに混ざって少量の [SYN, ACK] のパケットがある様子が見えた。
適当な [RST, ACK] の行を選択し、「Transmission Control Protocol → Flags → Reset: Set」を右クリックし、
「フィルタとして適用 → ...かつ選択内容と不一致」を選択した。
すると、No. が4桁のパケットが数件と、No. が6桁のパケットが多数表示された。
表示された No. が4桁のパケットの送信元のポート番号より、flagが得られた。
Regarding the file used in Monstrum ex Machina, the numbers of open ports (from port scanning, less than 16384) was asked.
From the analysis in The SUM of All FEARS, I guessed that the target is 192.168.100.103.
I opened the file pcap-challenge-final.pcapng in ip.addr == 192.168.100.103 && tcp.port < 16384.
As a result, I found it difficult to read because the attacker's [SYN] and the server's [SYN, ACK] are displayed in the same color.
Then, I set the filter to ip.src == 192.168.100.103 && tcp.srcport < 16384 to have it display only the server's responses.
As a result, I found some [SYN, ACK] packets among a lot of [RST, ACK] packets.
I selected a line with [RST, ACK], and right-clicked "Transmission Control Protocol → Flags → Reset: Set".
Then, I selected "Apply as Filter → ...and not Selected".
As a result, it displayed a few packets with 4-digit No. and many packets with 6-digit No.
I obtained the flag from the source port numbers of the packets with 4-digit No. displayed.