バージョン2です。
go言語のソースコードmain.goとなんらかのキャプチャファイルを圧縮したファイルcaputure.pcap.xzが渡される
main.goを読むと、どこかに対してリクエストを送りつけていることが分かる。
その際のURLがSECRET_PATHと一致していた場合にはリクエストヘッダのx-flagにsecretを付加して送信している。
解凍したcapture.pcapを見ると総じて1024497件のやりとりがあるらしい。
これをかたっぱしから見ていくのは流石につらい。そこで
x-flagを付加する関係上有象無象のリクエストよりはリクエストの容量が大きくなるはずという2つの制約に目をつけて、HTTP2のヘッダを含むパケットを容量が大きいものから探していくとx-flagを含むものが見つかった。
ctf4b{http2_uses_HPACK_and_huffm4n_c0ding}
Wiresharkに詳しくないので検索のやりかたが分からなかった…