まわ

勉強したことや遊びのこと

メールのキャプチャを追う問題を解く[CTF for Beginners 2018]"[Warmup] plain mail"

f:id:k_mawa:20180613005031p:plain

経緯

主にこの記事を元にCTF復習中
SECCON Beginners CTF 2018 Write-up

手順

0 wiresharkをインストール

wiresharkは存在は知っていたけど、使うのは初めて。なのでインストール@MacOSXでも、ちょっとBREWでサクッとはいかないからこの記事がいいです。 HomebrewでGUIなWiresharkをインストール | Scribble

1 wireshark起動

ファイルを開くで、ダウンロードしてきた問題のファイルpacket.pcapを開く。するとやりとりが見える。

f:id:k_mawa:20180613005503p:plain

やりとりが2つのIPで往復していることを把握。で、ちょっと切れてしまっていますが、IP〜03が、IP〜02に対して「メール送信後に暗号化データを送るパスワードを送る」とあり、

f:id:k_mawa:20180613005513p:plain

↑でパスワードがわかる。_you_are_pro_

3 暗号化されたデータを取得して解錠

まだ終わらない。ここでその鍵を開ける側のファイルを入手する必要がある。これは、ファイル=>オブジェクトをエクスポート=>IMF形式で取り出せる。と、参考記事にあったので試すと無事取り出せた。IMFはInretnet MessageFormatの略なんだ、へー 

IMF - The Wireshark Wiki

すると、zipファイルが出てきて、それにパスワードを入れて解凍すると、フラグが見える!

参考引用元記事

こちらも参考にさせていただきました。

qiita.com