Network Forensic - 100 Points

network-forensic.pcap

POC

Kami mecoba membuka file network-forensic.pcap tersebut lewat Wireshark dan mencoba melihat HTTP object, namun tidak menemukan apa-apa, lalu kami coba melihat file pcap tersebut menggunakan binwalk, terlihat disana ada sebuah file zip yang tesembunyi. Lalu kami coba extract menggunakan foremost

namun sayangnya file zip tersebut di proteksi dengan password, lantas kami mencoba menganalisa String yang ada pada pcap tersebut dan kami menemukan sesuatu yang menarik

terdapat string 'w00tqwertziphey' yang terdeteksi sesaat setelah perintah unzip diberikan, lalu kami coba mengextract file zip tersebut menggunakan password tersebut dan berhasil

Lalu kami menemukan ada file source code c yang digunakan untuk mengirim pesan dan pesan nya di enkripsi dengan di xor 0x6E pada tiap karakternya. untuk mendapatkan pesan yang terenkripsi kita melakukan filter di wireshark dengan tcp.port==1337 dan menemukan data yang di enkripsi kita export dalam bentuk C array

data = [0x0b, 0x00, 0x0d, 0x01, 0x0a, 0x0b, 0x1c, 0x31, 
0x07, 0x1d, 0x31, 0x01, 0x08, 0x1a, 0x0b, 0x00, 
0x31, 0x1b, 0x1d, 0x0b, 0x0a, 0x31, 0x0c, 0x17, 
0x31, 0x0c, 0x0f, 0x0d, 0x05, 0x0a, 0x01, 0x01, 
0x1c, 0x31, 0x01, 0x1c, 0x31, 0x0b, 0x16, 0x1e, 
0x02, 0x01, 0x07, 0x1a, 0x31, 0x1a, 0x01, 0x31, 
0x0f, 0x18, 0x01, 0x07, 0x0a, 0x31, 0x07, 0x0a, 
0x1d, 0x31, 0x01, 0x1c, 0x31, 0x0f, 0x18, 0x0a];

kemudian menggunakan python kita lakukan reverse terhadap enkripsinya

data = [0x0b, 0x00, 0x0d, 0x01, 0x0a, 0x0b, 0x1c, 0x31, 
0x07, 0x1d, 0x31, 0x01, 0x08, 0x1a, 0x0b, 0x00, 
0x31, 0x1b, 0x1d, 0x0b, 0x0a, 0x31, 0x0c, 0x17, 
0x31, 0x0c, 0x0f, 0x0d, 0x05, 0x0a, 0x01, 0x01, 
0x1c, 0x31, 0x01, 0x1c, 0x31, 0x0b, 0x16, 0x1e, 
0x02, 0x01, 0x07, 0x1a, 0x31, 0x1a, 0x01, 0x31, 
0x0f, 0x18, 0x01, 0x07, 0x0a, 0x31, 0x07, 0x0a, 
0x1d, 0x31, 0x01, 0x1c, 0x31, 0x0f, 0x18, 0x0a]

tmp = ""
for x in data:
    tmp += chr(x^0x6E)

#huruf terakhir di hapus    
print "GEMASTIK{" + tmp[:-1] "}"

awalnya kami menemukan flag yang tidak bisa di submit GEMASTIK{encoder_is_often_used_by_backdoor_or_exploit_to_avoid_ids_or_avd} ternyata huruf terakhirnya di hapus pada kode c nya jadi flag yang valid adalah GEMASTIK{encoder_is_often_used_by_backdoor_or_exploit_to_avoid_ids_or_av}

Flag: GEMASTIK{encoder_is_often_used_by_backdoor_or_exploit_to_avoid_ids_or_av}

Network Forensic

Network Forensic - 100 Points

POC

results matching ""

No results matching ""