주어진 문제 파일은 gzip. 압축을 풀면 PrivateChannel.pcap.pcapng라는 독특한 확장자를 가진 와샥 캡처 파일이 나온다.
처음 파일을 열면, 흰색 컬러링 패킷이 특징적으로 많이 보인다.
컬러링 룰을 보면, 이더넷을 통해 브로드캐스팅 된 패킷이 흰색임을 알 수 있다.
일단 Conversations > TCP 패킷을 보니 CDAISIWillWin 이라는 문자열이 들어있었다. 당연히 훼이크!
이거 말고는 별다른게 없어서 tshark로 넘어갔다. 맨 먼저 의심스러워 보이는 흰색 패킷..
진짜 뭐가 없다 개속았다.
그 다음으로는 ICMP 패킷이 많았다.
재밌는게 unreachable이 몇개 있고 id 존재하는게 5개 있고 나머지는 다 id == 0이었다.
처음엔 저 id값을 조합하나 했지만 0x06ef, 0x152c 밖에 없어서 의미가 없다고 판단했다.
그래서 남은 건 저 id == 0인 애들. 잘보면 ping request / reply로만 이루어져있다.
request 는 type이 8, reply는 0인가보다.. 그 뒤로 별 다른건 없다..
그래서 와샥으로 icmp.ident==0 값을 갖는 필터링을 설정한 뒤, id 컬럼을 만들었다.
이 id 컬럼은 이 패킷에서 플래그를 넣을만한 게 뭐가 있을까 생각하다가 넣은 ip.id이다. 딱 봤을 때 request 패킷이 값이 짧고.. 모으면 왠지 문자열이 될 것 같았다.
이 녀석들..
멋진 쉘을 짜는 대신 와샥에서 노가다를 하기로 했다.
1. ip.id 필드를 표시하는 컬럼 추가
2. icmp.ident == 0 && icmp.type == 0 필터링 설정
3. No 순으로 정렬 후 HEX를 ASCII로 읽어오기 ^^
그럼 보인다 플래그가.
'Wargame > ctf-d.com' 카테고리의 다른 글
| [ctf-d Network] DefCoN#21 #3 (0) | 2021.04.26 |
|---|---|
| [ctf-d Network] DefCoN#21 #2 (0) | 2021.04.26 |
| [ctf-d DISK] 2012_CodeGate_F200 (서울에 사는 IU가 특정 웹 …) (0) | 2021.03.14 |
| [ctf-d DISK] 2012_CodeGate_F300 (IU는 악성코드에 의해 감염된…) (0) | 2021.03.14 |
| [ctf-d DISK] 2012_Defcon20_F100-find_key (Find Key(slack)) (0) | 2021.03.07 |