# CorCTF 2022 ![](https://i.imgur.com/joRSX0D.png) # forensics ~~-but-actually-misc~~/whack-a-frog ## Đề bài ```! Come play a game of Whack-a-Frog [here](https://whack-a-frog.be.ax/) and let all your anger out on the silly msfrogs. Due to lawsuits by Murdoch, we were forced to add DRM protection, which has allowed us to detect a player distributing copyrighted media. Thankfully, we took a pcap: can you make out what he was sharing? Make sure that anything you find is all typed in UPPERCASE and is wrapped like corctf{text}. Best of luck and enjoy whacking some frogs! ``` Minh được cho một website ![](https://i.imgur.com/ALm0JC6.png) và một file `.pcap` ![](https://i.imgur.com/hq92NSd.png) Đập vào mắt mình là `GET /anticheat?x=X&y=Y&event=Z`. Nên mình nghĩ sẽ sử dụng tọa độ và trạng thái nút để xem tác giả vẽ cái gì. export các request mình cần ra: ```bash! tshark -r whacking-the-froggers.pcap -T fields -e _ws.col.Info -Y "http.request.method==GET" > coords ``` Lấy tọa độ và trạng thái nút bấm ```python= mouse = [] with open('coords', 'r') as file: for lines in file: line = lines.split(' ')[1].split('?')[1].split('&') mouse.append(tuple(a.split('=')[-1] for a in line)) with open('plot','w') as file: draw = False for lines in mouse: if(lines[2] == 'mousedown'): draw = True #print('DOWN') if draw: file.writelines(lines[0] + ' -' + lines[1] + '\n') #print(lines[0] + ' ' + lines[1]) if(lines[2] == 'mouseup'): draw = False #print('UP') ``` Sau đó mình dùng `gnuplot` để vẽ ra ```bash gnuplot gnuplot> plot 'plot' ``` và kết quả nhận được: ![](https://i.imgur.com/3jUH8jR.png) Đề bảo các ký tự viết hoa và bọc với corctf{} ``` Flag: corctf{LILYXOX} ```