Pakena #9

1,038 views

Published on

第9回ネットワークパケットを読む会(仮)

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,038
On SlideShare
0
From Embeds
0
Number of Embeds
25
Actions
Shares
0
Downloads
4
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Pakena #9

  1. 1. CODEGATE2012YUT ChallengePreliminary MatchM I S C # 3 2012/06/25 第9回 ネットワークパケットを読む会(仮) @togakushi
  2. 2. お前誰よ► なまえ:togakushi► でどころ:sutegoma2
  3. 3. CODEGATEとは► 韓国で2008年から毎年開かれているセキュリ 韓国で から毎年開かれているセキュリ 毎年開かれている ティカンファレンス► YUT Challengeはその中で開催されている はその中 開催されている CTF► 事前に予選が行われ、上位チームがカンファレ 事前に予選が われ、上位チーム チームが ンス内 われる決勝戦 出場できる 決勝戦に ンス内で行われる決勝戦に出場できる► 予選開催日 : 2012. 2. 24(Fri) 21:00 ~ 2. 26(Sun) 09:00 (36Hrs) (GMT +9)
  4. 4. CTFとは► CaptureThe Flagと呼ばれる競技► Flag(旗)となるキーワードやパスワードを配布 されるファイルやWebサイトから探す 配布されるファイルの形式 Diskイメージ(ファイルシステム問わず、時には RAID0の半分だけとか)/実行ファイル(形式問わ ず)/パケットダンプ/その他いろいろ
  5. 5. MISC #3You spied to find “Secret of Joseon which is previous dynasty of Korea”.You got all main pages information to manage unrevealed secret of Joseon through network sniffing.Open the file contained the secret of Joseon.Answer : strupr(md5(password))Download : 56C5A2B69084AEC379406CEB42CEC70C
  6. 6. これがなんなのか調べる► ファイルをダウンロードしてお決まりのチェック> md5sum 56C5A2B69084AEC379406CEB42CEC70C56c5a2b69084aec379406ceb42cec70c56C5A2B69084AEC379406CEB42CEC70C> file 56C5A2B69084AEC379406CEB42CEC70C56C5A2B69084AEC379406CEB42CEC70C: tcpdump capturefile (little-endian) - version 2.4 (Ethernet,capture length 32767)
  7. 7. Wiresharkで眺めてみる
  8. 8. ストーリー(仮説)を考える► ほとんどがHTTPの通信► 問題文から秘密のファイルがやり取りされてる はず► 秘密のファイルを開ければよさそう
  9. 9. 秘密のファイルを探す► HTTP通信で流れてるファイルはオブジェクトダ ンプで一括で抽出できる► ファイル →エクスポート →オブジェクト →HTTP
  10. 10. 途中経過> ls01.jpg bg-headliner-top-shadow.jpg index(2).html300px-Korean_celestial_globe.jpg bg-navigation.gif index.html300px-Korean_Waterclock.jpg bg-navigation-left-curve.gif King_Sejong_en300px-Seoul-Gyeongbokgung-Sundial-02.jpg bg-navigation-right-curve.gif korean_secretabout.html carterone-webfont(1).woff reference.htmlandika-r-webfont(1).woff carterone-webfont.woff register.htmlandika-r-webfont.woff celestial.html separator-navigation.gifbg-body.gif civil_service.html sprites-buttons.gifbg-featured.gif contact.html sprites-icon.gifbg-featured.jpg cp0421034001_00001 sprites-inputs.gifbg-footer.gif css style(1).cssbg-header.gif fonts style.cssbg-headliner-bottom-shadow.jpg hack sundial.htmlbg-headliner.gif images waterclock.htmlbg-headliner-image-shadow.jpg index(1).html
  11. 11. パスワード付きPDFを発見► 「korean_secret」というあからさまなファイル名 のPDFがあり、パスワードで保護されている► パスワードは何か? 4人くらいで挑戦 朝鮮王を調べてそれっぽいキーワードで試す Webのアドレスや電話番号などパスワードにしそう なもので試す ブルートフォースアタックを試す
  12. 12. パケットの中にパスワードあるかも► ダンプファイルから辞書を作ってそれでやってみる> strings 56C5A2B69084AEC379406CEB42CEC70C ¥ | sed s/[ ¥t]/¥n/g | sort -u > dic.txt> wc dic.txt 42633 42632 282744 dic.txt
  13. 13. 回答► ツールを使って辞書攻撃% pdfcrack -o -w dic.txt korean_secretPDF version 1.6Security Handler: StandardV: 4R: 4P: -3904Length: 128Encrypted Metadata: TrueFileID: 3f96dd275a3a594b9699307df9117b5fU: 774e894ba5544df616025fe657b3ac4e00000000000000000000000000000000O: 215c67bf60b941032efc5e200d906082a394cad728608cad8aea351adaaa2718found owner-password: ‘28-letter’found user-password: ‘28-letter’ パスワードを問題文に掲載されてる形式に変換したものが答え
  14. 14. おしまい

×