[日本語] [English]

beg_for_a_peg

ファイル log.pcapng が与えられた。

このファイルを Wireshark で開くと、HTTP通信が行われているようだった。
No. 31 のInfoが GET /flag.jpg となっていたので、これに対し「追跡 → HTTP ストリーム」を行った。
しかし、役に立つデータは得られなかった。

さらに、Infoが HTTP/1.0 200 OK となっているパケットを調べた。
その結果、No. 10 の server.html、No. 42 の dum.jpg、No. 87 の pug.jpg はあったが、flag.jpg に対応するものは見つからなかった。

そこで、パケットバイト列から文字列 200 OK を検索した。
すると、No. 44 がヒットした。
これに「追跡 → TCP ストリーム」を行うと、flag.jpg の情報が出てきた。
「としてデータを表示」を「Raw(無加工)形式」に切り替え、「…として保存」でデータを保存した。
保存したデータに CyberChef で Extract Files をかけると、flagが書かれた画像ファイル extracted_at_0x1cf.jpg が得られた。

FLAG{Hug_a_pug_less_than_three}

writeup by MikeCAT

WaniCTF 2023