Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 5

picoCTF Advent Calendar 2025

@OzakiRoy

picoCTF Writeup: shark on wire 1

Last updated at Posted at 2025-12-04

picoCTF Writeup: shark on wire 1

Wiresharkを使ってみよう問題

  • ジャンル: Forensics
  • 難易度: Medium

Writeup

問題文

We found this packet capture. Recover the flag.
我々はこのパケットキャプチャを見つけた。flagを復元せよ。

パケットキャプチャファイルをダウンロードしました。
Wireshark🦈で開きます。

Wiresharkをダウンロードします。
https://2.na.dl.wireshark.org/win64/
Wireshark-4.6.1-x64.exe

exe起動して、インストールします。
デフォルト状態で[Next]を連打してインストール完了です。

Wiresharkでパケットキャプチャファイルを開きます。

まず、このパケットキャプチャファイルの統計情報を確認してみます。
[統計]タブから[プロトコル階層]や[終端]などを見ましたが、IPv4通信、UDP通信が多いなぁ、くらいしか掴めませんでした。

ヒントを見てみます。

Try using a tool like Wireshark, What are streams?
Wiresharkみたいなツールを使ってみてね、streamsって何だろう?

streamsとは何か掴めば、flagが見えてくるのかな?🤔

streams(ストリーム)についてググりました。

streams(ストリーム)とはTCP/UDP通信セッション全体を意味する。
セッションとは、通信の開始から終了までの一連のやり取りのこと。

そして、Wireshark🦈にはストリーム追跡機能がある。

TCPストリームの場合は、フィルタでtcp.stream eq 数字して [分析]タブ - [追跡]で通信内容を確認できます。

今回の問題では、TCP通信は成功しておらずUDP通信が多かったので、
udp.stream eq 0からカウントアップしながら見ていきました。

udp.stream eq 6 まで来ました。
shark_on_wire_1.png

[分析]タブ - [追跡] - [UDPストリーム] を確認したところ、flag取れました。
shark_on_wire_1-flag.png

振り返り

ストリームのパケットが、どのようにしてflagになったのかをちゃんと確認しておきたいですね。

改めて、こちらの画面のパケットを見ていると、DataはLengh=1が連続しています。

shark_on_wire_1.png

そして、下のgif画面の右下の紫ハッチをみていると、
パケットを下に送るとp i c o C T F { とflagになっているのがわかるかと思います。
shark_on_wire_1-gif.gif

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?