반응형
반응형
반응형



Ment0rNet/00:23:69:61:00:d0


413.576954

 

 


 

59274


$tshark -r evidence08.pcap -Y '(wlan.bssid == 00:23:69:61:00:d0) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

 

29719


aircrack-ng

crack key

 

airdecap-ng

decrypt

 

arp


공격자 : tshark -r evidence08.pcap -Y '(wlan.bssid == 00:23:69:61:00:d0) && (wlan.sa == 1c:4b:d6:69:cd:07) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

그외 : tshark -r evidence08.pcap -Y '(wlan.bssid == 00:23:69:61:00:d0) && (wlan.sa != 1c:4b:d6:69:cd:07) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

 



 

a

admin:admin


반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 3] #1~#6]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
반응형

 

10.42.42.253에서 포트스캐닝을 한 것을 찾을 수 있다.

 

10.42.42.253

 

 

 


 

닫힌 포트일 경우 공격자가 TCP SYN을 보내고 서버가 TCP RST, ACK을 보내므로 TCP SYN 또는 TCP Connect이다.

그런데 열린 포트일 경우(779,786,791,821번 프레임), 공격자가 TCP SYN을 보내고 서버로부터 TCP SYN, ACK을 받은 뒤에 공격자가 TCP ACK과 TCP RST, ACK을 보내는 것을 확인할 수 있다. 따라서 TCP Connect 스캔이다.

서버로부터 TCP SYN, ACK을 받은 뒤 공격자가 TCP RST를 보냈다면 TCP SYN 스캔이다.

 


 

10.42.42.25, 10.42.42.50, 10.42.42.56

3곳 모두에 포트스캐닝을 시도하였다.

반응형

 

00:16:cb:92:6e:dc



 

반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 8] #1~#9]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
반응형

Sans Network Forensic [Puzzle 3] #1~#8

 

 

MAC주소는 여기에서 확인할 수 있다.

 

 

 

192.168.1.10의 http request 패킷을 확인한다.

 

 

 

http 필터를 걸고 search 관련 페이지에 파라미터 명이 q인 query가 넘어가는 것을 확인할 수 있다.

q에 검색내용이 담기므로 networkminer를 돌려서 해당 파라미터에 들어간 값들만 모아볼 수도 있다.

hack, sneak, iknowyourewatchingme 3개밖에 안보였는데 답이 h, ha, hac, hack 이란다.. 쩦

 

 

 

 

hack을 검색한 이후 패킷에서 찾을 수 있다.

 

 

 

반응형

 

307번 패킷에 대한 response 페이지 312번 패킷에 follow > HTTP stream 에 들어가서

preview를 검색했더니 나왔다.

 

 

 

 

 

처음에 hacker찾았던 패킷을 기준으로 info 정렬했더니 나왔다.

 

 

5번 문제처럼 하면 된다.

 

 

 

이 내용은 이미 #1 풀면서 구했다!

반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 8] #1~#9]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#6]  (0) 2021.08.04
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
반응형

pcap파일이 주어진다.

 

networkminer로 messages탭을 살펴보면

이메일 내용을 확인할 수 있다.

 

snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.

따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.

 

Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.

172.29.1.23에서 172.29.1.20로 직접 전송되었다.

 

해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.

반응형
반응형

pcap 파일이 주어진다.

 

networkminer로 해당 pcap파일을 열어서 messages부분을 확인해보면 문제 지문에서 언급된 betty가 나오는 메세지 내역을 확인할 수 있다.

 

인코딩된 뒷부분은 그냥 ascii로 변환해주면 된다.

 

How does Wednesday sound?
Great :) what time?
ah 2pm
Ok, I can't wait!

 

답은 Wednesday 이다.

 

해당 메세지들이 어떤 패킷에 어떻게 들어가 있는지를 확인해보기 위해서

wireshark로 먼저 7번 패킷을 확인해 보았다.

IRC 프로토콜을 사용하며, Request/Response형태로 메세지를 주고받는 것을 확인할 수 있다.

반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
D - CTF [tom-and-jerry]  (0) 2021.07.04
D - CTF [계속 주시해라!] 풀이  (0) 2020.10.14
반응형

패킷 파일이 주어집니다.

처음에 바로 FTP 패킷들이 보이는데, FTP로 파일을 받았는지 확인해봅니다.

 

Wh1t3H4T.zip 이라는 파일을 전송받았음을 확인할 수 있으며,

해당 파일을 간단하게 추출할 수 있습니다.

 

해당 파일을 살펴보면, flag.png가 들어있는데 암호화가 걸려있습니다.

 

패킷 파일에 ftp 패킷 외에도 다양한 패킷들이 담겨 있으니 다른 패킷들을 살펴보겠습니다.

 

ftp 통신은 192.168.146.1(server) 와 192.168.143.137 (client) 사이에서 이루어졌습니다.

192.168.146.1과 추가적으로 통신을 한 흔적이 있는 지 확인해봅니다.

 

ftp통신 이후 TLSv1으로 통신을 한 것을 찾을 수 있습니다.

해당 패킷 내용 복호화를 시도하기 위해서 인증서 내용을 추출합니다.

 

modulus값을 소인수분해할 수 있는지 알아봅니다.

 

factordb.com에서 factor를 찾을 수 있었습니다.

구한 p, q 값을 가지고 pem파일을 생성합니다.

 

 

wireshark에서 Edit > Preferences > Protocols > TLS > RSA key list에 private.pem을 추가합니다.

 

 

패킷 내용이 복호화되었으며, pw를 찾을 수 있었습니다.

반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D - CTF [tom-and-jerry]  (0) 2021.07.04
D - CTF [계속 주시해라!] 풀이  (0) 2020.10.14
D - CTF [Find Key(moon)] 풀이  (0) 2020.10.14
반응형

cat.pcapng 파일이 주어진다.

usb cap이다.

 

 

DESCRIPTOR  Response DEVICE 패킷을 확인해보면, wacom 펜 타블렛임을 확인할 수 있다.

 

tshark를 이용해서 데이터를 추출한다.

 

tshark -r ./Cat.pcapng -Y 'usb.capdata && usb.data_len == 9' -T fields -e usb.capdata > usbPcapData

 

데이터는 이러한 구조를 가지고 있다고 한다.

Example:
02:f0:50:1d:72:1a:00:00:12
Bytes:
02:f0: -- Header
50:1d: -- X
72:1a: -- Y
00:00: -- Pressure
12 -- Suffix

 

x, y 좌표값에 대한 데이터를 추출하여 좌표평면에 표시하면 된다.

z=0 필압이 없는 경우를 제외하기 위해 z값도 추출

awk -F: '{x=$3$4;y=$5$6}{z=$7}$1=="02"{print x,y,z}' usbPcapData > xydata

 

wacom_decode.py

1
2
3
4
5
6
7
8
9
10
11
#!/usr/bin/python
from pwn import *
 
for line in open('xydata').readlines():
  coord = line.strip().split(' ')
  x = int(coord[0],16)
  y = int(coord[1],16)
 
  if z > 0:
    print u16(struct.pack(">H",x)),u16(struct.pack(">H",y))
 
cs

z가 0인 경우를 제외하며, xy값을 10진수로 표현

python wacom_decode.py > out.txt
gnuplot
plot "out.txt"

 

 

png로 export이후 

convert -flop flag.png flag-f.png

이미지 좌우반전

반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
D - CTF [계속 주시해라!] 풀이  (0) 2020.10.14
D - CTF [Find Key(moon)] 풀이  (0) 2020.10.14
D - CTF [Find Key(butterfly)] 풀이  (0) 2020.10.14
반응형

계속 주시해라!

100

계속 주시해라!

KEY Format : TEXT

 

Proxy.jpg 파일이 주어진다.

 

jpg 푸터 시그니쳐 뒤에 문자열이 있다.

 

이 hex값을 가지고 뭘 해야되는 줄 알았는데, 되는게 없어서 그대로 인증하였더니 됐다.

반응형
반응형

Multimedia

Find Key(moon)

100

Find Key(moon)

 

 

moon.png 파일이 주어진다.

 

뒤에 PK 시그니쳐가 붙어있다.

 

zip으로 만들어주자.

 

 

암호가 걸려있다.

 

advanced archive password recovery를 이용하여 브포한 패스워드는 moon이었다.

 

 

반응형
반응형

Multimedia

 

Find Key(butterfly)

100

Find Key(butterfly)

 

 

text 청크가 있길레 이 청크에 키 값이 있나 했는데... 플래그는 없었다.

 

그래서 그냥 stegsolve.jar 돌려보니까 플래그가 나왔다.

 

 

반응형

+ Recent posts