[ctf-d Network] 조용할수록 더 귀를...

주어진 문제 파일은 gzip. 압축을 풀면 PrivateChannel.pcap.pcapng라는 독특한 확장자를 가진 와샥 캡처 파일이 나온다.

처음 파일을 열면, 흰색 컬러링 패킷이 특징적으로 많이 보인다.

컬러링 룰을 보면, 이더넷을 통해 브로드캐스팅 된 패킷이 흰색임을 알 수 있다.

일단 Conversations > TCP 패킷을 보니 CDAISIWillWin 이라는 문자열이 들어있었다. 당연히 훼이크!

이거 말고는 별다른게 없어서 tshark로 넘어갔다. 맨 먼저 의심스러워 보이는 흰색 패킷..

진짜 뭐가 없다 개속았다.

그 다음으로는 ICMP 패킷이 많았다.

재밌는게 unreachable이 몇개 있고 id 존재하는게 5개 있고 나머지는 다 id == 0이었다.

처음엔 저 id값을 조합하나 했지만 0x06ef, 0x152c 밖에 없어서 의미가 없다고 판단했다.

그래서 남은 건 저 id == 0인 애들. 잘보면 ping request / reply로만 이루어져있다.

request 는 type이 8, reply는 0인가보다.. 그 뒤로 별 다른건 없다..

그래서 와샥으로 icmp.ident==0 값을 갖는 필터링을 설정한 뒤, id 컬럼을 만들었다.

이 id 컬럼은 이 패킷에서 플래그를 넣을만한 게 뭐가 있을까 생각하다가 넣은 ip.id이다. 딱 봤을 때 request 패킷이 값이 짧고.. 모으면 왠지 문자열이 될 것 같았다.

이 녀석들..

멋진 쉘을 짜는 대신 와샥에서 노가다를 하기로 했다.

1. ip.id 필드를 표시하는 컬럼 추가

2. icmp.ident == 0 && icmp.type == 0 필터링 설정

3. No 순으로 정렬 후 HEX를 ASCII로 읽어오기 ^^

그럼 보인다 플래그가.