M4ndU의 만두만두한 블로그

show me the pcap

forensic

코로나사태로 인해 루돌프들 끼리 산타우체국에서 비밀리로 비대면 회의를 진행했다!
해당 회의 내용을 중간자 공격으로 PCAP형태로 가져왔으니 분석해보자!

pcap 파일 한 개가 주어진다.

Wireshark로 해당 파일을 열어보면 SSH, TLS 패킷들이 보이는데, 아래로 내려보면 756번부터 많은 RTP패킷들이 캡쳐된 것을 확인할 수 있다.

RTP는 실시간 전송 프로토콜로, 오디오와 비디오 정보의 실시간 전송을 하기위해 사용된다. 문제 지문에서 비대면 회의를 진행하였다고 했으므로, 해당 회의 내용이 RTP를 통해 진행된 것으로 볼 수 있다.

RTP 패킷의 담긴 내용을 확인해야 하는데, 해당 내용이 오디오형식이고 Wireshark에서 지원하는 코덱인 경우, Wireshark로 바로 확인할 수 있는 방법이 있다.

아무 RTP 패킷을 클릭하고 상단 메뉴에서 Telephony > RTP > Stream Analysis 를 클릭하고

Play Streams 버튼을 클릭하고 소스 선택 후 재생버튼을 누르면 된다.

그러나 여기에서는 비어있거나 지원하지 않는 코덱이라고 나온다.

따라서 해당 내용은 비디오인 것으로 추측해볼 수 있고, 다른 방법을 찾아보아야 했다.

여러가지를 검색하던 중에 블로그 글 하나를 찾을 수 있었다.

blog.itekako.com/technical/2017/03/07/rtp-stream-replay/

캡쳐한 rtp 패킷을 목적지만 수정하여 다시 실시간으로 전송하여 내용을 확인하는 방식이다.

필요한 환경은 패킷을 보낼 리눅스 환경과 내용을 확인할 리눅스/윈도우 환경 2개이다.

먼저, 주어진 pcap파일에서 (이하 origin.pcap) rtp패킷만 추출한 pcap파일을 만들어야 한다.

1. Wireshark로 origin.pcap를 연다.

2. 상단 메뉴에서 Telephony > RTP > RTP Streams

3. 스트림 선택

4. Prepare Filter 클릭 후 창 닫기

5. 상단 메뉴에서 File > Export Specified Packets… > Export as > pcap

6. rtpstream.pcap로 저장

7. rtpstream.pcap를 패킷을 보낼 리눅스 환경으로 이동

rtpstream.pcap를 replay하기 위해서는 패킷의 목적지 ip와 mac 주소를 수정해 주어야 한다.

해당 과정은 아래 modify-pcap.sh로 수행한다.

위 스크립트 실행에 필요한 패키지를 설치해야 한다.

$ sudo apt-get install tcpreplay tshark net-tools

그리고 스크립트를 실행해 준다.

$ bash modify-pcap.sh <player machine ip> <input pcap file> [<output pcap file>] [<output sdp file>]

$ bash modify-pcap.sh 192.168.0.2 rtpstream.pcap

그러면 패킷을 받기 위한 정보가 담긴 sdp파일이 생성되고, 패킷을 replay하기 위한 명령어가 출력된다.

sdp파일은 패킷을 받을 환경으로 이동한다.

패킷을 받아 영상으로 보기 위해서는 아래 명령어를 사용하면 된다.

$ ffplay sdp

나는 윈도우 환경에서 진행하였기 때문에 ffplay.exe를 사용하였다. ffplay.exe는 ffmpeg.org/download.html에서 다운받을 수 있다.

ffplay sdp로 대기 중인 상태에서, 리눅스 환경에서

sudo tcpreplay --intf1=enp0s3 'rtp-for-replay.pcap'

(modify-pcap.sh을 실행하고 출력된 명령어)을 실행하면, 패킷이 전송되어 받을 수 있다.

ffplay.exe sdp를 실행하였을 때 나는 

이러한 오류가 발생하였다. 해당 오류는 -protocol_whitelist file,udp,rtp,crypto,data 옵션을 추가해주어 해결할 수 있었다.

첫 번째 시도에서 오류가 발생하였다.

blog.itekako.com/technical/2017/03/07/rtp-stream-replay/에서는 문제가 있을 때, sdp 파일에 추가적인 정보를 추가해주라고 되어 있다. 

sdp-fmtp-data.sh

$ bash sdp-fmtp-data.sh origin.pcap

출력 결과

a=fmtp:96 profile-level-id=1;config=000001B001000001B58913000001000000012000C48D8DC43D3C04871443000001B24C61766335372E3130372E313030

해당 내용을 sdp 다음 행에 추가해주었다.

그러나 여전히 오류가 발생하였다.

sdp

c=IN IP4 10.0.2.15
m=video 58898 RTP/AVP 96
a=rtpmap:96 H264/90000
a=fmtp:96 profile-level-id=1;config=000001B001000001B58913000001000000012000C48D8DC43D3C04871443000001B24C61766335372E3130372E313030

sdp에 내용이 부족하거나 잘 못 설정된 것 같아, origin.pcap 파일을 다시 살펴보았다.

rtp 패킷들이 전송되기 전 부분인 749번 패킷에서 메타데이터를 확인할 수 있었다.

해당 내용에 따라 코덱 정보를 H264에서 MP4V-ES로 수정하고 시도하였더니 플래그를 얻을 수 있었다.

Is a computer forensics distribution that installs all necessary tools on Ubuntu to perform a detailed digital forensic and incident response examination.

google search.

extract LSB data

you can use zsteg.

Just get the flag

file : light

This file has png header signature. Therefore It is PNG file, and it has also png footer signature.

After PNG footer signature, there are some binary strings.

I could guess that binary is ascii code, because it starts 01~~.

easy.

Can You help us to extract the metal from Exchangeable header

file : metal.jpg

image description is strange.

hmm

next!

welcome to volatility 101, you have to know when you start analyzing a memory dump you have to look to processes and files on desktop.

profile = WinXPSP2x86

프로세스 특이사항은 이정도.

/Desktop/flag/

나오는게 없다. R-studio로 분석해봐야 할 거 같다.

another memdumpfile in Desktop dir.

There are 3 files which has 0 byte size in flag dir.

The file name seems like 'key'.

compare with look_to_clipboard.txt and filename.

k.08462 -> 20

e.22743 -> 8

y.08981 -> 40

이 다음은 mem을 추출해봐야 할거 같다.

아 easy 맞냐고

Dega Company has been attacked and some data have been exfiltrated, Help them to know what exactly has been leaked.

pcap

base64로 인코딩된 문자열이 많던데

This Stream is so weird, looking something hidden here!!

sonic visualizer - failed

audio lsb - failed

-롸업-

0xmohammed.github.io/2020/11/29/Last-Human-Writeup.html

cyber Criminal is hiding information in the below file .can you capture the flag ?. Note: Flag format flag{XXXXXXX}

xxd -r garbage garbage.zip

password brute-force 1to5 char - failed

lock bit change - failed

----풀이보고 내용추가----

dictionary attack으로 패스워드는 hacker_crackdown가 됨.;;

Habibamod is sending a secret signal, tune your receiver.

It's simple.

Value of encoder is encoded in base64.

0 to . , 1 to !

To decode it: . to 0, ! to 1.

Bin to ascii

good.

vcan0  06C   [8]  88 E6 0A 3D EC DC 50 2A

Why dosen't my BOMP Explode!!
Format: Flag{}

b0mp 파일이 주어진다.

first 2 bytes are empty, but next 4 bytes seems like file size.

0xcdbe = 52670 =

so this is bmp file. b0mp에서 0을 빼면 bmp이기도 하다.

put 0x42 0x4D (bmp magic number) into first 2 bytes.

hmm

another bits are also empty.

----풀이보고 내용추가----

b0mp의 파일명을 b0mp.data로 바꾸고 GIMP에 불러온 뒤에, 오프셋, 너비, 높이를 아래와 같이 조절하면 플래그를 확인할 수 있다.

Someone outside the department has downloaded some files from our server but fortunately we encrypt all the files. Can you get this files?

note.epd and readme.txt were transferred.

pub is directory.

note.epd is encrypted file.

How to decrypt note.epd.

xor 0~0xff - failed

SuNiNaTaS의 16번문제 풀이입니다. 

[SYSTEM]

비번을 찾아야 한다.

pcap파일이 들어있다. wireshark로 열어보자

매우 많다.. 일단 http프로토콜 패킷을 보자

POST로 보낸 것에 id와 pw가 보인다. 이런 패킷이 여러개 있는 것 같다.

하나하나 로그인 해보면 된다.

그럼 키가 나온다.