勉強会に参加した時の備忘録です。
Wiresharkでパケット解析とやらをしてみました。
クイズ形式で問題が出されるスタイルだったので、そのまま使わせてもらいます。
###問題①
次のファイルをダウンロードしてください。
パケットを解析すると以下の文字列が得られます.
解析結果の***の部分に入る文字列を入力してください。
Your FLAG is HLH={***}
ダウンロードしたファイルを、Wiresharkで見た画面がこちら。
そもそもWiresharkの見方が分からないので、調べたところ以下のような作りになっているみたいです。
- オレンジのところ
フィルターの機能。 - 緑のところ
「パケットリスト」と呼ばれる。パケットの流れを表す。 - 赤のところ
「パケット詳細部」と呼ばれる。パケットの中身を一覧化している。基本的に見るのはここ。 - 青のところ
「パケットデータ部」と呼ばれる。パケットの中身を16進数で表示している。
そして問題に戻ると、Your FLAG is・・・それっぽいものがWiresharkの中に3つあります。
/Your%20FLAG%20is%20HLH=%7BADAM%7D
それっぽい。
けどどうしてだか、とても読みづらい。
これはURLがエンコードされているからとのこと。GETだからだろうか。
デコードしてくれるサイトを探して、/Your%20FLAG%20is%20HLH=%7BADAM%7D をデコードしてもらいます。
私はここ(TAG index)を使いました。
デコード結果:
/Your FLAG is HLH={ADAM}
というわけで、この問題の答えはADAMとのことでした。
###問題②
次のファイルをダウンロードしてください。
パケットを解析すると以下の文字列が得られます.
解析結果の***の部分に入る文字列を入力してください。
"Your FLAG is HLH"=> "***"
ダウンロードしたファイルを、Wiresharkで見てみたものがこちら。
パケット詳細部に、Your FLAG is HLH"~の記述がありました。
さっきとは違ってすごく見やすく書かれています。
というわけで、この問題の答えはLILITH
###感想
問題①はGET,問題②はPOST。
GETとPOSTの違いはなんだ?と新人の時に思って、
URLに情報がでるかでないかの違いだと覚えました。
今回実際にパケットの中を見てみても、仕組みが全然違うんだなあと実感しました。
###勉強会主催者の方々
今回この勉強会を開催してくださった、Hackerz Lab.博多のみなさんありがとうございました。