NO CTF NO LIFE

Codegate CTF Preliminary 2014 150 WeirdShark

這題是唯一的一題 Forensics......


下載下來是一個pcap檔
用wireshark開啟卻出現錯誤訊息

看來是毀損了
只好想辦法修復
pcapfix
就找到一個線上修復pcap的網站
修復後再開一次檔案...fail again


至少 cap_len 變小了
這次只好自己手動修復了 QQ

62 = 0x3E
64 = 0x40

搜尋一下0x40
嘗試把他改成0x3E


然後就work了...=.=

除了一般tcp
就只出現http了
看到有GET /xxx.jpg的可疑檔案
就把檔案解開來看看
file -> extract object -> http
將所有檔案檢查過以後
發現在pdf檔裡面有flag XD

flag: FORENSICS_WITH_HAXORS