年を越しましたが7問目。 07フォルダにもquestion.txtがあって、こんな感じ。

通信相手のIPアドレスは？次の4つのパケットを見て答えよ。

-- 1 --
000000: FF FF FF FF  FF FF 00 66  77 88 99 AA  08 06 00 01 : .......f w.......
000010: 08 00 06 04  00 01 00 66  77 88 99 AA  C0 A8 01 02 : .......f w.......
000020: 00 00 00 00  00 00 C0 A8  01 01                    : ........ ..
==
-- 2 --
000000: 00 66 77 88  99 AA 00 11  22 33 44 55  08 06 00 01 : .fw..... "3DU....
000010: 08 00 06 04  00 02 00 11  22 33 44 55  C0 A8 01 01 : ........ "3DU....
000020: 00 66 77 88  99 AA C0 A8  01 02 00 00  00 00 00 00 : .fw..... ........
000030: 00 00 00 00  00 00 00 00  00 00 00 00              : ........ ....
==
-- 3 --
000000: 00 11 22 33  44 55 00 66  77 88 99 AA  08 00 45 00 : .."3DU.f w.....E.
000010: 00 54 00 00  40 00 40 01  50 C3 C0 A8  01 02 0A 14 : .T..@.@. P.......
000020: 1E 28 08 00  D0 C0 7A 07  00 01 EA 6C  02 54 C9 72 : .(....z. ...l.T.r
000030: 0C 00 08 09  0A 0B 0C 0D  0E 0F 10 11  12 13 14 15 : ........ ........
000040: 16 17 18 19  1A 1B 1C 1D  1E 1F 20 21  22 23 24 25 : ........ .. !"#$%
000050: 26 27 28 29  2A 2B 2C 2D  2E 2F 30 31  32 33 34 35 : &'()*+,- ./012345
000060: 36 37                                              : 67
==
-- 4 --
000000: 00 66 77 88  99 AA 00 11  22 33 44 55  08 00 45 00 : .fw..... "3DU..E.
000010: 00 54 02 95  40 00 40 01  4E 2E 0A 14  1E 28 C0 A8 : .T..@.@. N....(..
000020: 01 02 00 00  D8 C0 7A 07  00 01 EA 6C  02 54 C9 72 : ......z. ...l.T.r
000030: 0C 00 08 09  0A 0B 0C 0D  0E 0F 10 11  12 13 14 15 : ........ ........
000040: 16 17 18 19  1A 1B 1C 1D  1E 1F 20 21  22 23 24 25 : ........ .. !"#$%
000050: 26 27 28 29  2A 2B 2C 2D  2E 2F 30 31  32 33 34 35 : &'()*+,- ./012345
000060: 36 37                                              : 67
==

問題の考え方

それぞれのパケットの通信先を読み取って回答する。 なんで4つあるのかは謎。

解法

解けなかった。

調べた結果

4つのパケットをそれぞれ確認してみる。
1個目2個目の長さが短くてIPパケットじゃない気がするので、まずはethernetフレームのタイプ（1行目13-14byte目）を確認すると、以下の通りだった。

ARPパケットなんて真面目に見たことないや……。そりゃわからんわな。
この並びだと、最初にARPで宛先のMACアドレスを確認して、その次にその情報を使ってIPでの通信を行ったという感じだろうか。
パケットの正体もわかったところで具体的にどことどこが通信を行っているのか確認していこう。

-- 1 -- の情報

まずはEthernetフレームから。1byte目から6つが送信先、次の6つが送信元なので確認は簡単。

送信先が FF FF FF FF FF FF なので、ブロードキャスト要求だということがわかる。
ARPでブロードキャストするのってARP要求パケット（このIPアドレスのMACを教えてください）の場合だよね。

続いてARPフレームの確認。ここには送信元のMACアドレスとIPアドレスの対比、あとMACを知りたいIPアドレスの情報が載ってる。
2行目の7byte目から読んでく。送信元MACアドレス、IPアドレス、知りたいMACアドレス、知りたいIPアドレスの順に並んでる。

送信元 192.168.1.2 がブロードキャストで 192.168.1.1 のMACアドレスを教えてーってってのがわかった。

-- 2 -- の情報

同じようにEthernetフレームを見ると、次のようになってる。

続いてARPフレームも同様にチェック。

1の要求に対して返事してるのがわかった。ふぅ。

-- 3 -- の情報

続いてIPパケットのほうを見てみる。さっきのARP情報が生かされているはずだ！
Ethernetフレームは以下の通り。おなじみ最初の6つずつ。

続いてIPフレームの送信元／送信先IPアドレスは以下の通り（2行目の11-14byte目と15byte目-3行目の2byte目）。この辺は慣れてきてすぐ見つけられるようになった。

あれ？送信先がARPで見つけたIPアドレスと違うな。考えられるのは、192.168.1.1がルーターで、それ経由で10.20.30.40で通信しているとかかな？　ひとまず4個目のパケットを見てみよう。

-- 4 -- の情報

Ethernetフレームは以下の通り。

IPフレームは以下の通り。

通信先は10.20.30.40で決まりだね。ARPの確認だけで決めつけないように、というひっかけ問題かな。

ちなみに3個目と4個目のパケットのトランスポート層のタイプを調べると、ICMPだってことがわかる。ICMPのタイプとコードを調べると、3個目がping要求、4個目がping応答だってのもわかるので、3問目の復習にどうぞ。

別解

これもtext2pcapにかけるとズバッと答えが……と思いきや、4つ目以外は [Malformed Packet] って言われちゃう。4つ目が残っているのでこれの送信元から答えを類推することは可能かも。
出題者はわざと壊れたパケットにしておいたのかなあ？

かなり間が空いたけど問5の解説。
解けなかった問題なので改めて書くのがたいへんだった。

このパケットによると、日本時間で今何月何日何時何分何秒？

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.
0010   00 4c 00 00 40 00 36 11 11 2c d2 ad a0 1b c0 a8  .L..@.6..,......
0020   00 04 00 7b 00 7b 00 38 6d 96 1c 02 11 e8 00 00  ...{.{.8m.......
0030   06 8b 00 00 02 9e ac 1d 02 32 d7 ad 09 99 d8 db  .........2......
0040   8b 49 d7 ad 0a 44 7a a8 0f 7e d7 ad 0a 46 42 28  .I...Dz..~...FB(
0050   23 a6 d7 ad 0a 46 42 2b 5a b3                    #....FB+Z.

問4と同様、データ部分は問3と同じ。問題文が異なっている。

問題の考え方

データは問3と同じ。 今何時何分何秒なのか、とのことなので、このパケットの保存している時間情報を探して、NTPのプロトコルに従って送受信の間ののネットワーク伝送による誤差を加味して答えればいい。

簡単だと思ってたよ、この時までは。

解法

ntpパケットには時刻情報が4つある。

それぞれ64bitの値であるこれをゴニョゴニョして人間に見られるようにして、計算して回答する。

こっから先は当日はわからなくて時間切れ。
どのTimestampを参照すればいいのかも、
64bitの値をどうやって西暦に直すのかも。

調べた結果

それぞれのタイムスタンプの意味は以下の通り。

UNIXタイムは32bitで保存されているという話をよく聞くけど、NTPの情報はどう扱ったらいいのかわからない。
64bitの値をどうやって西暦に変換するか。RFCより以下の情報を得た。

NTPタイムスタンプは、64ビット符号無し固定小数点数として表現されており、 このタイムスタンプは、1900年1月1日0時との相対的な差を秒単位で表している。 整数部分は、最初の上位32ビット、小数点以下は、下位32ビットとなっている。 小数部分については、あまり重要でない下位ビットは、0に設定される。

また、同じくRFCより保存形式はビッグエンディアン（上位桁から順に記述）と得られたので、 上位32bitを記述順に扱い、十進数に直す。

d7 ad 09 99 d8 db 8b 49 → 3618441625
d7 ad 0a 44 7a a8 0f 7e → 3618441796
d7 ad 0a 46 42 28 23 a6 → 3618441798
d7 ad 0a 46 42 2b 5a b3 → 3618441798

これが1900年01月01日からの経過秒数になる。 西暦に直すために計算するんだけど、手作業じゃしんどいのでツールを探す。

UNIXタイムスタンプ→西暦のツールはあまたあるけど、 NTPタイムスタンプ→西暦のツールは全然見ない。 で、いろいろ調べていたら、両者の差を書いてあるところがあった。

NTP時刻 - 2208988800秒 = UNIX (POSIX) 時刻

NTP時刻が1900年01月01日～の秒数で、UNIX時刻が1970年01月01日～の秒数だから、 その差を計算すればよい。 両者とも形式的な（うるう秒等を考慮しない）秒数なので、精密な処理は不要。

3618441625 - 2208988800 = 1409452825 = 2014/8/31 11:40:25 JST
3618441796 - 2208988800 = 1409452996 = 2014/8/31 11:43:16 JST
3618441798 - 2208988800 = 1409452998 = 2014/8/31 11:43:18 JST
3618441798 - 2208988800 = 1409452998 = 2014/8/31 11:43:18 JST

で、ここまで出したんだけどこの数字から現在時刻を求める方法がわからない。 いろいろ調べたら、NTPの時刻同期には以下の4つの情報が必要とある。 最初の4つはそのうちの一番最後の「クライアントがサーバのレスポンスを受信した時刻」が このデータからだとわからない。
なにか別の求め方があるのだろうか。教えて詳しい人！

1. クライアントがリクエストを送信した時刻
2. サーバがクライアントのリクエストを受信した時刻
3. サーバがレスポンスを送信した時刻
4. クライアントがサーバのレスポンスを受信した時刻

参考資料

• NTPプロトコルのタイムスタンプフォーマット
  SNTPのRFCだけど、タイムスタンプフォーマットは同一

• NTP時刻から「年月日」への変換
  NTP時刻とUNIX時刻の差が書いてある。

• UNIXタイムスタンプ→西暦 (JST) 変換

別解

問1で書いた通りtext2pcapを使用すると時刻情報が一目瞭然なんだけど、 やっぱりここから補正して現在時刻が何時になるのかはわからない。
自分のやった手計算が間違っていなかったことだけ確認できた。
なお、出てくる情報はUTCなので+9:00:00してJSTにしなければならない。

つづいて3問目を解説するよ。同じように03フォルダを開くとquestion.txtがひとつのみ。ひらくとこんな感じ。

このパケットデータのアプリケーションプロトコルは何でしょう？
英字でお答えください。

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.
0010   00 4c 00 00 40 00 36 11 11 2c d2 ad a0 1b c0 a8  .L..@.6..,......
0020   00 04 00 7b 00 7b 00 38 6d 96 1c 02 11 e8 00 00  ...{.{.8m.......
0030   06 8b 00 00 02 9e ac 1d 02 32 d7 ad 09 99 d8 db  .........2......
0040   8b 49 d7 ad 0a 44 7a a8 0f 7e d7 ad 0a 46 42 28  .I...Dz..~...FB(
0050   23 a6 d7 ad 0a 46 42 2b 5a b3                    #....FB+Z.

問題の考え方

アプリケーションプロトコルを答えよとのことなので、とりあえず以下を確認する。もしTCP/IPじゃないプロトコルだったりして、これでもわからなかったらほかのところにも手を伸ばすことにしよう。

• TCP/UDPとかトランスポート層プロトコルがなにか
• ポート番号がなにか

解法

まず、問題文のパケットデータから得られる情報を最初からみていこう。 最初はイーサネットフレームのヘッダです。ネットワークをかじっている人ならおなじみのMACアドレスとか入ってるとこ。データの先頭から14byte分を見る。

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.

• 初めの6byte = 00 1a a0 89 a3 7f = 送信先MACアドレス
• 次の6byte = 44 94 fc 7e 1a ba = 送信元MACアドレス
• 続いての2byte = 08 00 = （上位のプロトコルの）タイプ

プロトコルタイプの部分が 08 00 だったので、上位プロトコルがIPプロトコルであることがわかる。正直ほかのプロトコルだとどの値がどのプロトコルかすらわからないのでたすった。当初の「考え方」の通りすすめて大丈夫そう。

データ上ではイーサネットヘッダに続いてのIPヘッダが出てくる。IPアドレスとか入っているこれもおなじみのところ。さくっとIPヘッダのうちのプロトコル番号の部分を見てみよう。プロトコル番号フィールドはIPヘッダの10byte目なので、イーサネットヘッダの終わりから数えて……ひぃふぅ……2行目の8byteめをみる。

0010   00 4c 00 00 40 00 36 11 11 2c d2 ad a0 1b c0 a8  .L..@.6..,......

ここの値がTCPだと06（10進数で06）、UDPだと11（10進数で17）になる。上のデータだと11になってるのでUDPだってことがわかった。

次はIPヘッダの後ろに続くUDPプロトコルのヘッダをみる。UDPヘッダにはポート番号が書かれているので、これで解答であるアプリケーションプロトコルがわかるわけだけど、ここでちょっと事前調査が必要になる。
UDPヘッダの前にあるIPヘッダの長さは時と場合によって変わるので、どこからがUDPのヘッダなのかを調べなければいけない。
IPヘッダの長さはIPヘッダの最初に書いてあるので確認。1byte目の数字の最初4bitがプロコルバージョンで、次の4bitがヘッダ長となる。

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.

みてみると "45" となっているのでプロトコル番号は4（IPv4ってこと）、ヘッダ長は5。ヘッダ長5byte……ではなく、ここにある数字に4byte（ヘッダ長は32bit (=4byte) 区切りで伸び縮みさせるというルールがある）をかけたものが実際のヘッダ長になる。5に4byteをかけて20byteということ。

これでUDPヘッダの開始場所がわかった。イーサネットヘッダ14byteとIPヘッダ20byteを足して34。ということは35byte目からUDPヘッダになる。3行目の3byte目からだね。

0020   00 04 00 7b 00 7b 00 38 6d 96 1c 02 11 e8 00 00  ...{.{.8m.......

最初の2byteが送信先ポート番号、次の2byteが送信元ポート番号。両方とも同じ007bで、これを10進数に直すと123。
123/udpといえば泣く子も黙るNTP。すんなりとけた！

別解

問1で書いたように、問題文のパケットデータ部分をtext2pcapに読み込ませるとものの数秒で回答が得られます。wiresharkってすごいなー（遠い目）。
でもわざわざテキスト形式にして参考書持ち込み可にした運営の意図を考えると、こうやってテキスト上で解いてもらいたかったんじゃないかなーとか思ってみたり。

さっそく問1の解説をするよ。 01フォルダの中にquestion.txtというのがあって、開くとこんな感じ。

問1

Find the Key!

0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 00 ........ ......E.
0010 00 34 f3 ed 00 00 40 01 88 d9 7f 00 00 01 7f 00 .4....@. ........
0020 00 01 08 00 bd c8 18 18 00 00 5a 6d 78 68 5a 33 ........ ..ZmxhZ3
0030 74 7a 5a 57 4e 6a 62 32 35 7a 5a 57 4e 6a 62 32 tzZWNjb2 5zZWNjb2
0040 35 39

問題の考え方

いきなり「キーを探せ！」とか言われて16進数の数字が並んだテキストファイル（上のやつ）がぺろりと渡される。 CTFの問題ってこういう説明不足気味なのがほとんどで、問題から「わかってるよな？」感と「わかってないやつはお断り」感がすさまじい勢いで出てる。

私も初心者なので一瞬面食らったけど、ネットワークの問題というくらいだからきっとネットワークパケットなんだろう。 このデータのどっかに「キー」があるらしいので、それっぽいものを探すことにする。

解法

テキストデータは一般的なバイナリエディタで開いた際の形式で並んでする。 それぞれの位置の数字に意味があるので、一応説明。

• 一番左側の4けた数字
  「オフセット」と言って、その右に並んでるデータの位置（16進数で何個目か）を表してる。
• 真ん中の16進数の羅列
  実際にやり取りされているデータ。コンピューターに必要なのはこれだけ。
• 右側のドットとかアルファベット
  HEX ASCII dumpと言って、真ん中の16進数の羅列のデータを16進数ASCIIコードに割り当てて変換してみたもの。文字にならないところはドットになってる。
  機械的に変換しただけなので、文字になっててもそのまま文字の意味に使われているとは限らない点に注意。

んで、右側のASCII dumpを見てると、データの最後の方がまとまって文字になっていてあやしい。 ネットワークパケットのデータの最初のほうはネットワークの中を通り抜けるためのお決まりの情報（送信元とか送信先とかね）なので、データが入っているとしたら最後のほうになるっていうのもあってここに目をつける。

ZmxhZ3tzZWNjb25zZWNjb2

文字の並びがなんとなくbase64エンコードっぽいので、ダメもとでデコードしてみる。 こういった変換のためにコマンドラインツールのnkfを入れていると便利。Windows用のもあるよ。

>echo ZmxhZ3tzZWNjb25zZWNjb2 |nkf -mB
flag{secconsecc

やった！なんか答えっぽい文字列が出た！ でもなんか尻切れトンボ……。

そして問題文を見ると、最後の行の2文字分だけASCII dumpがないことに気づく（出題ミス？）。 しかたないので "35" と "39" を16進数ASCIIに変換して追加し、もう一度nkfにかける。

>echo ZmxhZ3tzZWNjb25zZWNjb259 |nkf -mB
flag{secconseccon}

正答は公開されていませんので断言できないけど、今度こそ正解だよね。以上！

参考情報

• Windows TIPS：nkfツールで文字コードを変換する - ＠IT
• ASCII文字コード表

別解

実は超有名なネットワークパケットキャプチャソフトwiresharkに付いているコマンドラインのツール text2pcap を使用すると、今回の問題のようなテキストデータのパケットをpcapファイルに変換してくれる。超便利！（SECCON挑戦時は知らなかった……くやしい）

変換したファイルをwiresharkで開くとICMPパケットだということがわかる。このICMPパケットのDataセクションに上で私があてずっぽうに求めた文字列が格納されているのがまるわかりなので、後は変換するだけ。