5주차 실습

[실습]

- [CTF-D/Network] 당신이 플래그를 찾을 수 있을까?

- [CTF-D/Network] DefCoN#21 #1

- [Burp Suite] Burp Suite 설치 후, 직접 Proxy 해보기

 

---

-[CTF-D/Network] 당신이 플래그를 찾을 수 있을까?

http://ctf-d.com/challenges#%EB%8B%B9%EC%8B%A0%EC%9D%B4%20%ED%94%8C%EB%9E%98%EA%B7%B8%EB%A5%BC%20%EC%B0%BE%EC%9D%84%20%EC%88%98%20%EC%9E%88%EC%9D%84%EA%B9%8C?

[DigitalForensic] with CTF

 

파일을 다운받아서 wireshark로 열고 [Statistics]-[Conversations]를 클릭하면 TCP Stream이 3개인 것을 아래 화면처럼 확인할 수 있다.

 

이 중 첫번째로 tcp stream eq0을 클릭한 후 Follow stream으로 열어보면 아래와 같은 화면을 확인할 수 있다.

여기서 irc가 반복적으로 나오는 것을 통해 irc 프로토콜을 사용하여 클라이언트와 서버가 채팅을 한 것을 알 수 있다.

또 Matir(10.240.0.3)가 보낸 패킷이란 것을 알 수 있다.

 

다시 돌아와서 2번째 tcp stream을 follow 하면 아래와 같은 창을 볼 수 있다.

여기서 andrewg(10.240.0.4)가 보낸 패킷이란 것을 알 수 있다.

 

3번째 tcp stream을 follow하면 아래와 같은 창이 뜬다.

여기서 itsl0wk3y(10.240.0.5)에서 보낸 패킷이란 것을 알 수 있다.

 

이 3 개의 tcp stream의 내용은 다르지만 이 3명이서 나눈 대화 내용은 동일하게 남아있다고 한다.  따라서 이 3개의 tcp stream 중 아무거나 골라서 대화 내용을 분석하면 된다. (단, 각 tcp stream을 열었을 때 그 창에서 빨간색으로 볼드 처리된 것이 그 패킷을 보낸 사람이 말한 내용이다.)

ex)

-tcp stream eq0을 follow했을 때 나오는 패킷은 Matir가 보내는 패킷이기 때문에, Matir가 한 말에 빨간색으로 볼드처리가 되어 있다.

(PING과 PONG은 서버 연결이 잘 작동되고 있는지 확인하는 명령어라고 한다)

 

-대화 형식 : PRIVMSG #ctf : ~ 형태이다.

 

-대화 내용

Matir : PRIVMSG #ctf :hey

andrewg : PRIVMSG #ctf :How's it going?

Matir : PRIVMSG #ctf :it's going

itsl0wk3y : PRIVMSG #ctf :i can haz ops?

Matir : PRIVMSG #ctf :You get ops and you get ops and everyone get ops!

itsl0wk3y : PRIVMSG #ctf :Did you guys hear about the leak?

Matir : PRIVMSG #ctf :yeah, every time I hear about more crap like that I donate to the EFF: https://www.eff.org/

andrewg : PRIVMSG #ctf :I don't think itsl0wk3y meant that leak

itsl0wk3y : PRIVMSG #ctf :no, I was talking about some CTF that accidentally leaked a bunch of challenges

Matir : PRIVMSG #ctf :oh

Matir : PRIVMSG #ctf :really?

andrewg : PRIVMSG #ctf :yeah, that was bad

Matir : PRIVMSG #ctf :i can't do anything right today

andrewg : PRIVMSG #ctf :oh you can only turn left?

Matir : PRIVMSG #ctf :haha

Matir : PRIVMSG #ctf :Well, hopefully some people are having fun with flags

...

Matir : PRIVMSG #ctf :so let's do it as a group

andrewg : PRIVMSG #ctf :CTF{

itsl0wk3y : PRIVMSG #ctf :some_

Matir : PRIVMSG #ctf :leaks_

andrewg : PRIVMSG #ctf :are_

Matir : PRIVMSG #ctf :good_

itsl0wk3y : PRIVMSG #ctf :leaks_

andrewg : PRIVMSG #ctf :}

itsl0wk3y : PRIVMSG #ctf :alright, well, my job is done here!

 

key값 : CTF{some_leaks_are_good_leaks_}

 

---

 

- [CTF-D/Network] DefCoN#21 #1

 

파일을 다운받아서 wireshark로 열어보면 아래와 같은 창이 뜬다.

여기서 irc 프로토콜을 찾을 수 있다.

irc로 검색을 해보면 아래와 같이 irc 프로토콜만을 확인해볼 수 있다.

follow tcp stream으로 열어보면 아래와 같은 창을 볼 수 있다.

여기서

PRIVMSG #S3cr3tSp0t :How does Wednesday sound?

를 html로 디코딩하면

이것이 나오는 것을 알 수 있고, 따라서 키 값은 Wednesday이다.

 

 

---

 

- [Burp Suite] Burp Suite 설치 후, 직접 Proxy 해보기

 

-Burp Suite(버프 스위트) 설치 사이트 :

portswigger.net/burp/releases/professional-community-2020-12-1

Professional / Community 2020.12.1

(community 버전으로 다운받기)

이상하게 아래 화면처럼 설치가 완료되었는데도 불구하고

아이콘을 클릭하면 아래 화면처럼 뜨고 프로그램이 실행되지 않는다..ㅠ