はじめに

Beginners CTF の"plain mail"のWriteupです。
ジャンルは"Mics"に分類されていますが、問題の内容なネットワークになります。

Writeup動画を以下に上げていますので、分かりづらければそちらも参考にしてみて下さい。
今後もちょくちょくWriteup動画とかを上げていくので、よければチャンネル登録お願いします。

【CTF】Beginners CTF 2018 Misc "plain mail" Writeup

問題

[Warmup] plain mail
packet.pcap
https://score.beginners.seccon.jp/files/24b881de7a7c44102dbb6c67dc8c0635/packet.pcap

解答

問題文にリンクが貼られているので、そこからファイルを落とします。

落ちてきたファイルを"file"コマンドで調べると

packet.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)

と表示されることから、pcapファイル（パケットをキャプチャしたファイル）であることが分かります。
pcapファイルなので、一旦wiresharkで開いて中身を確認します。

すると、３つのメールを送っていることが分かり、それぞれの内容は以下のようになっています。

1. １通目：「最初に暗号ファイルを送って、２通目にパスワードを送るよ」的なメール
2. 2通目：ZIPファイルが添付されている
3. 3通目：ZIPファイルを解凍するためのパスワード

社会人の方とかでしたら、よく業務でも利用しているのではないでしょうか。
あの全然、セキュアじゃないセキュリティ対策のあれです。
※私個人はあの対策だけでは意味がないと個人的には考えています。あくまで個人の考えです。

ZIPファイルが添付されたメールも解凍に必要なパスワードも手に入ったので、
あとは以下手順で解凍を行います。

1. "TCPストリーム"機能を使って２通目のメールを抽出
2. 抽出したメールをメールクライアントで開いて添付ファイルを保存
3. ３通目のメールで得たパスワードを利用して解凍

ZIPファイルを解凍すると、"flag.txt"が出てきます。そのファイルの中にflagが記載されています。

ctf4b{email_with_encrypted_file}

以上となります！