2014年10月13日月曜日

ASIS CTF Finals 2014 Writeup / forensic 125

Capsule
Forensics 125


$file capsule_239acad5fcfe4722e624da66c9c02542
 capsule_239acad5fcfe4722e624da66c9c02542: XZ compressed data

解凍し中身を見るとヘッダーが”0A 0D 0D 0A”なので pcap-ng capture file でした。
キャプチャーファイルということでバイナリエディタで開く。


epsファイルがあったので取り出す。

%!PS-Adobe-3.0 EPSF-3.0
%%Creator: potrace 1.11, written by Peter Selinger 2001-2013
%%LanguageLevel: 2
%%BoundingBox: 0 0 150 150
%%HiResBoundingBox: 0 0 150.000000 150.000000
%%Pages: 1
%%EndComments
%%Page: 1 1
currentfile /ASCII85Decode filter /LZWDecode filter cvx exec
J/lc\@jia36p6os-K?5!aCR.L@HM5X8G7'_Rgk/$,T)ho0q6GnR,f*WHT4QlU@Ws&Afqrs$
:4h$OrH%kbbgS4!L3(`1eQ&KZQ[iV+;tM3o.t+1fh)fNBp@jbL5ABuL^n&r&:iPI1X[d01S
B860V)?A'!l\#[^[5S,F`,RiEdUm)'!9V6VQfVh2!Oi"^FZD_
tLA>-$.69@Rbe1QK9<"`#a$o//G)K+5W9[0^m>S-jHd/-M)BID+V54`#`VuqKLP9['qWD$'
/X,2$/cg;W3Mg1%p8#C^Ld8VfM9sP5MSn3`]Srgl`pUP!EmFqLOE+A`%rg#6Su#pnp9V-PP
N\qt$S+QMVJh\'&2Rg0hW544dT/3C.lc%DM(6)sikZcP.%=S.[aK6ZN6NWTRNTY!Q&p=
@@GT[#P+02VZ%9f@6RO%5CuU:.88?_0Tu(gf-R,r
>g9mWeL_r+FP0P5u+bF[/L2/pl)RuKc(mm5Si+/2+PgF,M4<_zk6in50 data-blogger-escaped-e9e="" data-blogger-escaped-h="" data-blogger-escaped-k="[c513#!8Y/SJU`dEQ?9G?tu.AD]8H]cDM%<7#9%]HOu7:g%31&/lo2/VF:-J" data-blogger-escaped-xtvndm4="">^f$V=!5T3qQCOKLnXmfrr:_lbH)DiUpEIM?/kB*QJn?lQ"#Ra
6fJ^f?]T\&")Vin'G(&Q4AJLh)n:\%8<(hi7]5
6ft21pFe=eQ8"ihEqTj/7)D9i;d!OjtGA'!JTo@FUe+M2p\_Sc#db8&]QsQK/?HRF+S`T.6)C53B;
aH`VGD6hReZ;MS"\$FJ4.#AT?ZPR`mX]m=a!e8q>MVCaa[*W%e?fpifl\aofr3h#Lg(3[Rg@3VOSWklnIL!^K>9@IqinO5i
I,7#MEQ!+1@P*U8M(KTHO4cGWPX2`r7UB87NE_]WppB@REV)5'h
_-(bM1a(%T/(YE\;1*S$9uZM%VK/E*6^Npm<]d>&kZO<)SRj>65_EZLhr$1GB^4+%K2tBM,
't2*P&qT]H&Cu'<%N"[(uIP+\@e2-iHr]If"U5m9AX/#.8iHo`[J;"T1F9+mLgT\QK2m^"-
df.D0IF`(o#L]6u?t)"@#8#/(J1E.8=qkTS$Gg+Cn_R`?o*-a))ojK:d5r)H3_NW+]-Dqus
B;83@^^n5\M'/F1F46$J'sVu.H6#U3nD5]%YP3p&SBX;X:e`=$1^Ro#,aR)]A/727>8V6+0
e1<46 data-blogger-escaped-fn8="[-Nr20RV(#NPPT=&?AZ;$3j0?p">DA3K*%D1"/rGU3FXp?)(3QH@s,F
="bO@?m[+CWbC/bD=mKt&*ghB12Q%!dhV34G@`9J&;Q=qn1nK^S6#:+";a:Am00
_KuU$t@#n(+]VEQk9^5e<4d69mi data-blogger-escaped-aidbr="" data-blogger-escaped-b7iq="" data-blogger-escaped-b="" data-blogger-escaped-d="" data-blogger-escaped-e="" data-blogger-escaped-f="" data-blogger-escaped-ftp="" data-blogger-escaped-gqku="" data-blogger-escaped-h="" data-blogger-escaped-ltcg="" data-blogger-escaped-nppcxpwp0="" data-blogger-escaped-q="" data-blogger-escaped-r-t="" data-blogger-escaped-ruv="" data-blogger-escaped-s="" data-blogger-escaped-se0.="" data-blogger-escaped-u="">?T"
[._dor+YI!G,@@4#b-PO%NT!dCWn')e2MGdf677S!MLb5=O=_(JZ8Ja(u[Kc3ff0W&t;H6G
nDX2_*`V#"WX7^RJZ8+m-kZ=0llYLegh81Yc:@,<43n data-blogger-escaped-b1="" data-blogger-escaped-j1bnb="" data-blogger-escaped-o="" data-blogger-escaped-p="">m?GYhj2Q-W&V@Ar'uHs+X]\l)ppTSBUn$6SQb#&Y3K&m.BU_#()YUpOH8u=)=!1@DZ
/A:J\$qbC8TAr-FPbQFN
AZ2:5%I)MX@?mNpB8Z*sqk6+KJqHK&H;Z)KH&X=V)\.%5@GL1dgE1P[]!26MD'X4>_;Gt,b
X%XE>@+#ZS$OBL+*[8=&`Ju^D4[P25`QWb\Sj"%T,uqF&,[kL\=i*Zumk2-7)R^#ZRG^@'@_3oT"D!02
U@+/lJUYJqXUZm2@j:Cmt^EG_LO)AsAm!eo3l^Lo7i38FjdI/7`>;f+3+e/S9oPG\ZX.3%!
#EY3IJ^LjdOdl=OQqk9s0P0XZnE;(#nCU[4GkS7)n*nBNE_92:,CStKafKgS3#-a(P-Pj@P
SG"edYn3gYOMJB(NKBPX&DsV-cU8nVhc:]oo/:dJ))"qY0N^qAB#h$19)GqhnF6j*\9VPpt
Z@biNXP&_qclR>`#X^8d(Pg9?j%%u`CEEWB0!W~>
%%EOF


しかしこれはflagではなかった。
ほかにもpngやjpegがあったがそれも違って バイナリエディタで眺めていると


何かよくわからないものがあったのでテキストで表示。

    _    ____ ___ ____     _____ _  ___   __       ___  _     _       ___      _     _ _  _    __        ___         ___      _           _  _  _____          _                 ___  _    ____   ___  
   / \  / ___|_ _/ ___|   |___ // |( _ ) / _| ___ / _ \| |__ / | ___ / _ \  __| | __| | || |  / _| __ _ / _ \  __ _ ( _ )  __| | ___ __ _| || ||___ /  ___  __| | __ _  ___ ___ ( _ )| |__|___ \ / _ \ 
  / _ \ \___ \| |\___ \     |_ \| |/ _ \| |_ / _ \ | | | '_ \| |/ __| | | |/ _` |/ _` | || |_| |_ / _` | | | |/ _` |/ _ \ / _` |/ __/ _` | || |_ |_ \ / _ \/ _` |/ _` |/ __/ _ \/ _ \| '_ \ __) | | | |
 / ___ \ ___) | | ___) |   ___) | | (_) |  _|  __/ |_| | |_) | | (__| |_| | (_| | (_| |__   _|  _| (_| | |_| | (_| | (_) | (_| | (_| (_| |__   _|__) |  __/ (_| | (_| | (_|  __/ (_) | |_) / __/| |_| |
/_/   \_\____/___|____/___|____/|_|\___/|_|  \___|\___/|_.__/|_|\___|\___/ \__,_|\__,_|  |_| |_|  \__,_|\___/ \__,_|\___/ \__,_|\___\__,_|  |_||____/ \___|\__,_|\__,_|\___\___|\___/|_.__/_____|\___/ 
                     |_____|           



ということで
ASIS_318fe0b1c0dd4fa0a8dca43edace8b20
これがフラグ



ちなみに このファイルWiresharkで読み込めなかったので
http://f00l.de/hacking/pcapfix.php
このサイトで修復してもらったりもしました。