どうもなおすけです。
16384番煎じですが、セキュキャン2014 NW組のWrite-Upを。
Write-Upっていっても、割と簡単にやっちまったのでうーんって感じ。
くらりろいどさんの記事はめっちゃちゃんと書いてるので、皆さんそっちを参考にしてください()

write up

ファイルをごにょごにょ

まず、さいとから課題をとってきます。

[naosuke@localhost(10.0.1.2)] ~/_tmp/140619
(*'-') < wget http://www.ipa.go.jp/files/000038855

--2014-06-19 14:40:22--  http://www.ipa.go.jp/files/000038855
Resolving www.ipa.go.jp (www.ipa.go.jp)... 202.122.141.45
Connecting to www.ipa.go.jp (www.ipa.go.jp)|202.122.141.45|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2806 (2.7K) [text/plain]
Saving to: `000038855'

100%[=======================================================================================================================================================>] 2,806       --.-K/s   in 0s      

2014-06-19 14:40:22 (70.4 MB/s) - `000038855' saved [2806/2806]

[naosuke@localhost(10.0.1.2)]  ~/_tmp/140619
(*'-') < ll
-rw-r--r--  1 naosuke  2806  5 16 14:02 000038855

拡張子なしですね…とりあえずfileしてみますか…

[naosuke@localhost(10.0.1.2)] ~/_tmp/140619
(*'-') < file 000038855 
000038855: ERROR: line 188: softmagic.c, 481: format `, capture length %d)' does not match with `%lu'

エラーだと…? これは多分Macでなんかうまくいかないやつかな…と思って、Linuxに転送…
いつものVPSで作業します

[naosuke@myvps(192.168.1.2)] ~/_tmp
(*'-') < ls
000038855

[naosuke@myvps(192.168.1.2)] ~/_tmp
(*'-') < file 000038855 
000038855: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)

なんだ、パケットキャプチャファイルじゃん。
拡張子にpcapをつけて…鮫さんに読ませると…

できたー

### 中身をゴニョゴニョ

wiresharkさんで通信を見ると、なんかTCPで通信をしてるってことがわかりました。
Follow TCP Streamしてみましょう。

あー、なるほどね。お化けですね。さすがに読めません。
でぼーっとながめてると、なんかHTTPという文字が見えます。
これだ、って感じで、パケットの中身を見てみます。

なんか、security-camp-2014-nw.txtってものをGETしてますね。ここっぽいですね。
さて、実際にやりとりしてるのはどこか…

…なんかデータサイズ大きいし怪しいな。 というわけで、あとはTextファイルをエクスポートするだけ。

できたー。

感想

こんなに単純なものなの?!って驚いて、何回も見なおしたけど、怪しげなやりとりはここしかなくて、これでときました。
皆さんのWrite-Upを見てたら正解だったっぽいのでよかったよかった。

まとめ

セキュキャン2014行きたいです。

---

参考

• Clariroid's Blog(当該記事)