[picoCTF][Forensics][Eavesdrop]
Writeup
- pcapファイルなので、とりあえず
Wireshakで開く。
HTTPを見ても気になる通信がなかったので、TCPで接続しようとしているパケットを確認。
(http.request or tls.handshake.type eq 1 or (tcp.flags.syn eq 1 and tcp.flags.ack eq 0)) and !(ssdp)
-
9001番ポートの通信から、FollowTCP Streamで内容を確認。
- 内容をDeepLで確認。
以下のコマンドで、9002番ポートの通信を復号でするのかな。
openssl des3 -d -salt -in file.des3 -out file.txt -k supersecretpassword123
-
9002番ポートの通信から、FollowTCP Streamで内容を確認。
Saltedとあり、ソルトが入っているのかな。
- Rawにして、ファイルとして出力
- 出力したファイルの名前を変更して、指定のコマンドを実行。
- 以上です。