Wireshark

[picoCTF][Forensics][Wireshark twoo twooo two twoo]

Writeup

• pcapngのファイルなので、とりあえずWiresharkで。
  ファイルの出力を試みる。File Export Objects HTTP
  

• flagがたくさんなので、嘘っぽいですね。
  中身もそれっぽくないし。そして案の定の結果に。
  

• 他に出力できそうなファイルを探したら、メッセージっぽいものが。
  該当する通信を右クリック Follow TCP Streamで確認。
  
  
  

• 海老[Shrimp]を探すと、異なるサブドメインへの問い合わせが多い。
  これは怪しいのか。
  

• とりあえず名前解決に関するパケットを確認してみる。
  Googleは関係ないと思うし、レンスポンスを非表示にして、見る分を減らす。
  dns && ip.addr != 8.8.8.8 && ip.dst == 18.217.1.57
  

• fQ==って怪しいのか。末尾の0= 9とかも覚えておこう。
  サブドメインを繋げたいので、適当な名前を付けてテキスト出力。
  File Export Packets Dissections As Plain Text
  

• 必要な部分だけ抽出

cat hoge.txt | grep .reddshrimpandherring.com:| cut -d "." -f 1 > result.txt

• CyberChefでBAKE!した。
  

参考サイト

https://ichibariki.com/entry/2018/06/03/225649
https://tech.kusuwada.com/entry/2021/04/08/121205
https://www.deepl.com/translator