hack the packet 2013 예선전(HTP_preQuel) - 1

hack the packet 2013 예선전(HTP_preQuel) - 1

핵더패킷 2013 예선전 문제를 티스토리 파일 용량한도 10MB 라서 나눴습니다.

---

hack the packet 2013 예선전(HTP_preQuel).vol1.egg

hack the packet 2013 예선전(HTP_preQuel).vol2.egg

hack the packet 2013 예선전(HTP_preQuel).vol3.egg

---

네트워크 패킷분석 CTF 중에 꽤 유명한 곳이다. 

와이어샤크 공부하는 사람에게 좋은 자료이며 공부한 것에 참조가 될 만한 부분이 많을 것이다.

문제는 이런 식으로 .pcap 한개 가지고 그 안에 문제 8개를 풀 수 있는 단서를 주어준다.

문제 1) telnet 은 다보여..

hint : key is telent password

filter 창에 telnet 이라고 입력을 해보았다.

위와 같이 telnet 에 관한 것이 쭉 나오게 된다.

telnet 중 하나를 follow TCP stream 을 해봅니다.

그러면 위와 같이 password 가 뜨고 그것을 Auth 나 답안 창에 넣게 되면 1번 문제가 풀리게 됩니다.

문제 2) 인터넷 쇼핑 중에 실행된 웹쉘을 찾아라!!

hint : vulnerability is in IIS. very contraversial URI - 힌트에 엄청난 것이 숨겨져 있던 것이다.(IIS 취약점이라고 네이버에 치면 asp;. 문장을 볼 수 있다)

처음에 어떻게 풀까? 고민을 많이 하였다. 

쇼핑 중이면 일단 이미지 파일을 봐서 확인을 해봐야할 것 같아서 networkminer를 써서 이미지를 찾아봤었다. 그렇지만 그렇게 해서 찾을 수 있는 부분이 없었다. (마이너로 쓰는 도중 추후 정답이 되는 QR코드와 다른 부분을 찾았던 것 같다.)

http 이면 tcp 중 하나가 되지 않을까 해서 필터에 tcp로 먼저 잡아두었다.

Ctrl+F 를 눌러 필터링을 String 으로 하고 packet details 로 잡아 필터를 IIS 취약점인 asp;. 로 하였다. 

찾게 되는 그것을 다시 follow stream 을 한다. 그러게 되면 POST 부분에 O+ne~Line.. 이라고 나오는 부분을 답으로 넣게 되면 통과된다.

문제 3) 누군가 80포트를 통해 나의 중요한 파일을 삭제했다.

hint : METHOD vulnerability . check the contents of uploaded file(여기서도 힌트가 중요한 역할을 하게 된다. 메소드 취약점이라고 해서 무엇이 있을까? 라고 생각했는데 찾아보니 딱히 없는 것 같고 그래서 검색엔진에 http 메소드 종류를 알아보게 되었다.)

get과 post 메소드들은 너무 방대하게 양이 많기 때문에 찾을 수가 없었다. 그래서 다른 메소드를 찾은 결과 컨텐츠라고 나온 부분이 있어 

PUT / 을 필터링 해보았다.

follow tcp strem 해보게 되면 전송하는 부분의 content 12글자가 나오게 되는데 그것이 정답이 되게 된다.