| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- html
- 실기
- slack space
- 정보처리기사 필기 합격
- 2022시작
- 네트워크관리사2급
- pythonchallenge
- Multimedia
- 는 하지마...
- 24시간의 전사
- ZIP 파일구조
- N0Named
- memory
- vinetto
- blkls
- 디지털포렌식
- 슬퍼유
- Multimeida
- CTF-D
- 생활코딩 html
- ftz
- 네트워크 보안
- disk
- Window process
- 윈도우 프로세스 종류
- 윈도우 프로세스
- 디지털포렌식 with CTF
- network
- 생활코딩
- 포렌식
- Today
- Total
ssoL2 TISTORY
[CTF-D/Network] 당신이 플래그를 찾을 수 있을까? 본문
문제 : PCAP에서 flag를 찾아라.
Wireshark로 열었다.
[Statistics]-[Conversations]에서 TCP Stream이 3개 존재함을 확인할 수 있다.
그 중 tcp stream eq 0을 열어봤는데 반복적인 'irc'가 핵심인 것 같았다.
인터넷 릴레이 챗(Internet Relay Chat, 약칭: IRC)은 실시간 채팅 프로토콜로, 여러 사용자가 모여 대화를 나눌 수 있다. 그리고 IRC는 전통적인 채팅 프로토콜로, 이를 지원하는 수많은 서버 네트워크와 클라이언트가 존재한다.
위의 내용에 의하면 IRC 프로토콜을 사용하여 클라이언트와 서버가 채팅을 하려는 상황인 것으로 해석된다.
총 대화를 나누고 있는 사람은 [andrewg], [Matir], [itsl0wk3y]이며,
[PRIVMSG #ctf :대화내용]의 형식으로 채팅을 주고 받을 수 있다.
(자세한 IRC 프로토콜을 이해하고 싶다면 -> www.joinc.co.kr/w/Site/Ajax/IRC )
그리고 맨 처음부분을 보면 NICK Matir으로, 현재 내가 보고 있는 tcp stream eq 0은 Matir가 보낸 상황이다.
참고로 첫번째 tcp stream을 보면 위에서처럼 NICK Matir로, Matir(10.240.0.3)에서 보낸 패킷 캡쳐,
두번째 tcp stream을 보면 NICK andrewg로, andrewg(10.240.0.4)에서 보낸 패킷 캡쳐,
마지막 세번째 tcp stream을 보면 NICK itsl0wk3y로, itsl0wk3y(10.240.0.5)에서 보낸 패킷 캡쳐임을 확인할 수 있다.
아무튼 세 개의 tcp stream의 내용이 똑같지는 않겠지만 세 명이서 나눈 대화 내용은 동일하게 남아있을 것이다.
따라서 앞서 봤던 첫번째 tcp stream eq0에서 분석하도록 한다.
중간중간에 PING과 PONG이 많은데, 이는 서버 연결이 잘 작동되고 있는지 주기적으로 확인하는 것이다.
대화 내용은 [PRIVMSG #ctf :대화내용]의 형식으로 채팅을 주고 받았으며, 최종적으로 정리한 내용을 아래와 같다.
Matir : PRIVMSG #ctf :hey
andrewg : PRIVMSG #ctf :How's it going?
Matir : PRIVMSG #ctf :it's going
itsl0wk3y : PRIVMSG #ctf :i can haz ops?
Matir : PRIVMSG #ctf :You get ops and you get ops and everyone gets ops!
itsl0wk3y : PRIVMSG #ctf :Did you guys hear about the leak?
Matir : PRIVMSG #ctf :yeah, every time I hear about more crap like that I donate to the EFF: https://www.eff.org/
andrewg : PRIVMSG #ctf :I don't think itsl0wk3y meant that leak
itsl0wk3y : PRIVMSG #ctf :no, I was talking about some CTF that accidentally leaked a bunch of challenges
Matir : PRIVMSG #ctf :oh
Matir : PRIVMSG #ctf :really?
andrewg : PRIVMSG #ctf :yeah, that was bad
Matir : PRIVMSG #ctf :i can't do anything right today
andrewg : PRIVMSG #ctf :oh you can only turn left?
Matir : PRIVMSG #ctf :haha
Matir : PRIVMSG #ctf :Well, hopefully some people are having fun with flags
andrewg : PRIVMSG #ctf :so i was at the bar last night, and the waiter screamed "does anyone know CPR?" so I replied "I know the whole alphabet!"
itsl0wk3y : PRIVMSG #ctf :oh god... really?
Matir : PRIVMSG #ctf :lol... but not really
Matir : PRIVMSG #ctf :alright, seriously, I guess given the leaks, they deserve a flag, don't you think?
itsl0wk3y : PRIVMSG #ctf :maybe
Matir : PRIVMSG #ctf :but it's plaintext, so I guess 5 eyes will get this flag before anyone else
Matir : PRIVMSG #ctf :so let's do it as a group
andrewg : PRIVMSG #ctf :CTF{
itsl0wk3y : PRIVMSG #ctf :some_
Matir : PRIVMSG #ctf :leaks_
andrewg : PRIVMSG #ctf :are_
Matir : PRIVMSG #ctf :good_
itsl0wk3y : PRIVMSG #ctf :leaks_
andrewg : PRIVMSG #ctf :}
itsl0wk3y : PRIVMSG #ctf :alright, well, my job is done here!
대화 내용에서 세 명이서 flag를 나눠서 채팅 친 기록을 발견할 수 있다.
(사실 나머지 내용은 필요 없다..짜식들의 잡담..)
이제 flag를 합쳐서 입력하면 된다~
끝!
🚫 flag는 🚫
CTF{some_leaks_are_good_leaks}
'challenge > forensic' 카테고리의 다른 글
| [CTF-D/Memory] GrrCON 2015 #1 (0) | 2021.05.20 |
|---|---|
| [CTF-D/Network] DefCoN#21 #1 (0) | 2021.05.10 |
| [CTF-D/Network] lol team이라는 의심스러운 팀이 있습니다. (0) | 2021.05.09 |
| [CTF-D/Network] 당신은 캡처 파일에서 플래그를 찾을수 있는가? (0) | 2021.05.09 |
| [CTF-D/Disk] 윈도우 작업 관리자에서 우클릭... (0) | 2021.05.09 |
