kongsugoi / wu-pcap-file Goto Github PK

Đây là các bài liên quan đến các tập file PCAP trong PicoCTF.

!

Đầu tiên ta sử dụng phần mềm Wireshark để mở file này lên

Ta thấy ở phần Protocol (giao thức) có 2 loại giao thức là HTTP và TCP, thế nên ta ấn Analyze chọn Follow và chọn TCP stream để kiểm tra các gói tin chuyển đi. Ở stream thứ 5 ta nhận thấy có đoạn mã bất thường.

Copy và dịch đoạn mã trên (Mật mã Caesar) ta được flag

Flag: picoCTF{p33kab00_1_s33_u_deadbeef}

Mở bài này trong wireshark, ta nhận thấy tập tin này chứa rất nhiều giao thức. Nhưng vẫn nên kiểm tra bằng cách follow và chọn TCP stream (HTTP stream) để xem dữ liệu chuyển đi có chứa flag hay không. Ở stream thứ 6 ta nhận thấy có flag, nhưng rất đáng nghi

Tìm đến các stream tiếp theo, ta nhận thấy có nhiều các flag như vậy nữa hiện ra, vậy nên ta biết được đây chính là flag fake, làm lệch hướng suy luận của mình

Kiểm tra lướt qua các tập tin, ta thấy ở những địa chỉ DNS (địa chỉ ở cột source là 8.8.8.8) luôn có 1 đoạn mã đáng ngờ

Ta sử dụng lệnh lọc filter để lấy những stream ở địa chỉ DNS đó (lệnh filter dns && ip.src ==8.8.8.8) nhưng ta thấy được nó gửi đến địa chỉ 192.168.38.104 và khi đổi địa chỉ ở câu lệnh trên thành 192.168.38.104, ta lại thấy nó gửi đến 1 địa chỉ mới nữa là 18.217.1.57.

Có thể có gì đó đáng ngờ ở đây, ta thử đổi câu lệnh thành dns && ip.dst ==18.217.1.57 thì nhận được thông tin ngắn gọn hơn hẳn những đường dẫn trên

Ghép các mảnh của đoạn mã lại và decode base64 ta được flag

Flag: picoCTF{dns_3xf1l_ftw_deadbeef}

Bài này tương tự như bài Wireshark doo doo do doo..., chúng ta chỉ cần ấn Analyze, chọn Follow và chọn vào giao thức của file

Flag: picoCTF{p4ck37_5h4rk_ceccaa7f}

Đề cho ta 1 file có rất nhiều tập tin, nhưng hầu như trong đó không có nhiều ý nghĩa. Bài này có 100 điểm nên suy nghĩ đơn giản, thử sử dụng lọc filter xem thế nào.

Vì trong file hầu như sử dụng giao thức TCP nên ta sử dụng câu lệnh tcp contains "pico"

Thấy ngay flag trong dữ liệu

Flag: picoCTF{P64P_4N4L7S1S_SU55355FUL_0f2d7dc9}

Bài này khi mở file ta thấy giao thức sử dụng là TFTP là một giao thức truyền tệp tin trực tiếp (không nén file hoặc tách file thành các frame và packet)

Vì là truyền file trực tiếp nên ta có thể lọc luôn file ra bằng cách ấn File chọn Export Object chọn giao thức TFTP, nó sẽ hiện ra các file được gửi đi

Kiểm tra từng file xem file nào có flag thôi. Thấy ngay file txt chứa 1 đoạn mã đáng ngờ, copy và kiểm tra, ta biết được đây là đoạn mã Rot13. Dịch thì không ra flag nhưng ra dữ liệu (hơi dính 1 tí nên cần kiến thức tiếng anh để cắt và dịch câu)

Nó bảo là hãy giấu flag và tôi sẽ check lại cho cái plan và đồng thời lại có 1 file tên là plan. Mở nó lên, lại là Rot13 và dịch ra

Giờ thì nó bắt xem ảnh, oke lại ngồi kiểm tra các ảnh, mở ra thì không thấy có gì lạ thường, các file ảnh đều dưới dạng bmp

Khả năng là dữ liệu bị khắc trong ảnh bằng kỹ thuật stegano. Nhưng với dạng file bmp thì ta không thể sử dụng zsteg, exiftool được. Buộc ta phải có 1 tool khác tên steghide

Cho đống ảnh này vào máy ảo và làm việc thôi

Bất ngờ ở đây, khi extract (giải nén) file, nó bắt ta phải nhập 1 passphrase tức mật khẩu

Mật khẩu ở đâu??? À, ta nhận ra ở file Plan nó đã bảo "I USED THE PROGRAM AND HID IT WITH-DUEDILIGENCE" có lẽ mật khẩu là DUEDILIGENCE chăng?

Sử dụng cùng với 1 câu lệnh khác, ta extract các file bmp được cho

Và ta nhận được 1 file là flag.txt khi giải nén ảnh thứ 3. Mở file và nhận được flag

Flag: picoCTF{h1dd3n_1n_pLa1n_51GHT_18375919}

Nó có khá nhiều các giao thức lạ, nhưng mà vẫn xuất hiện các giao thức UDP và TCP, chọn analyze, follow và ấn UDP (TCP) stream thôi

Thấy ngay flag ở stream thứ 6

Flag: picoCTF{StaT31355_636f6e6e}

Đề cho ta 1 file pcap và 1 file zip, đề bắt ta phải mở được file zip thì mới lấy được flag, vậy nên ta phải tìm thông tin flag trong file pcap thôi

File có vẻ khá ngắn nên ta có thể check bằng tay các packet được gửi đi và nhận về

Ta tìm được 1 đoạn tin rất khả nghi, vì nó sử dụng 1 giao thức khác hẳn so với các giao thức được cho ở trên, đồng thời đoạn thông tin mà nó gửi đi có dấu hiệu của 1 đoạn mật mã được mã hóa

Giải mã đoạn mã trên ta được 1 nửa của flag This is the secret: picoCTF{R34DING_LOKd_

Nhưng đây mới chỉ là 1 nửa thôi, nửa còn lại chắc chắn đang ở trong file zip, đọc lại phần Hint thì nó có nói

Vậy có lẽ nào mật khẩu chính là nửa đoạn mã mình vừa tìm được. Thử ngay

Và ta nhận được luôn flag

Flag: picoCTF{R34DING_LOKd_fil56_succ3ss_0f2afb1a}

Đề bài đã cho ta khá nhiều dữ liệu quan trọng:

* Thứ nhất : Mật khẩu này có thể crack được

* Thứ hai : Mật khẩu sử dụng bảo mật của Wireless (WPA)

* Thứ ba : Mật khẩu có thể có trên rockyou wordlist

* Thứ tư : Tool có thể sử dụng là aircrack-ng (ở trong hint 2)

Vậy thì ta sẽ down tool về ubuntu, sử dụng bộ mật khẩu trong rockyou wordlist với câu lệnh sau

Tool sẽ trả lại các kết quả

Đề có nói là tìm mật khẩu nên có thể Key tìm được trong wordlist có thể trùng với Flag, thử nhập kết quả ta có luôn flag

Flag: picoCTF{mickeymouse}