동아리 홈피에 예전에 작성한 글 이다.

요즘은 Hack the packet 안하나요...?

Hack the packet 2014 online qual

Low

L1 : Alies leave a Secret Message using SMB for assistant bob.

smb 프로토콜을 사용하여 전송하였으므로, wireshark 로 smb protocol 로 전송한 데이터를 모두 뽑아내 보았으나, fail.. 포기하였다.

L2 : NFS server got compromised, Find out name of hacker"s public key!

wireshack 를 통해 NFS 로 filtering 을 하였다.

K_EY_H@CK.pub 라는 퍼블릭 키를 발견 할 수 있었다.

L3 : What is a model of cell phone which is installed malicious application?

주어진 패킷에 핸드폰 기종이 나오는 위치는 User-Agent 이외엔 없으리라 추측. 리눅스에서

grep "User-Agent" -an ./prob.pcap > test

명령어를 이용하여, User-Agent 값을 추출하였다.

SHV-E210S 라는 기종명을 찾을 수 있었다.

Medium

M1 : Find what is the field name of the fourth was investigated attacker through the attack of SQL Injection

having 절을 통해 sql injection 공격을 하였으므로, having 을 검색하였다.

검색을 통해 나온 구문은, 모든 컬럼을 얻기 위하여 시도를 하는 내용이었다.

이 중, 4번째로 획득한 컬럼인, bbs.tMail 이 답이 된다.

M2 : ggobi edited photos using the usb .(10/09 21 hour after) ggobi remembered that brother is in house that day. USB product name of brother ?

참고 사이트

USB를 PC에 연결할 경우, Windows는 장치 드라이버를 검색한다.

따라서, 장치 드라이버를 검색하는 패킷을 찾기로 하였다.

grep "uPnP" -an ./prob.pcap > test2

여기서, 의심스러운 항목을 찾아보려 했지만, 너무 광범위 하였다.

따라서 검색을 통해 "USBSTOR" 이란 키워드를 찾아낼 수 있었다.

찾아낸 구문중, 21시 이후의 내용은

Disk&Ven_{Vendor Name}&Prod_{Product Name}&Rev_{Version}

위와 같은 포맷으로 이루어져 있으며 아래와 같다.

USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.26

따라서, PROD_CRUZER_BLADE 가 답이다.

M4 : Garumi logged on cloud as Rul’s ID and downloaded something. After downloading, she realized that her computer is infected with a virus.

이 문제의 힌트는 zip file 이다.

pcap 파일을 vim 으로 연 다음. :/.zip 명령어를 통해 zip 파일을 찾아보았다.

Adobe Photoshop CS2_kor.zip

란 이름의 파일 하나만 발견되었다.

패킷이 쪼개져서 전송되므로, TCP stream 을 통해 패킷을 이은 다음 저장을 한 후,

PK 매직넘버 앞의 값을 지워서 올바른 zip 포맷으로 바꾼 후 앞축을 풀면

Adobe Photoshop CS2.exe

란 이름의 파일을 얻을 수 있다.

HIGH

H1 : Yongja is very lazy, but like CTF. So, he decided to use BF to solve BOF chall. Some hours later, he got shell from chall server (bindshell). But he did mistake, lost the shell connection! He can’t do BF anymore(was warned by OP). Find correct return address in the exploit packet!

BF 시도 결과가 너무 많아서 탐색 실패.

H2 : Yongja’s website that based on Apache Struts got melong! Please let us know what is the CVE(used vuln) and where is the site to change bad guy want?

exploit db 에서 apache struts 로 검색하니 몇가지 cve가 나왔다.

이 중 가장 위의 CVE의 POC를 확인 한 결과, .../action?Class.classLoader......

의 형태로 만들어져 있으므로, pcap 파일에서 grap 으로 해당 문구가 있는 줄을 긁어냈다.

GET /struts2-blank/example/HelloWorld.action?Class.classLoader.reurces.dirContext.docBase=aHR0cDovL3d3dy5oYWNrdGhlcGFja2V0LmNvbS9Lb3JlYW5fVGhhbmtzZ2l2aW5nX0RheS8oXk9eKS8oXk9eKS8v

위와 같은 GET 요청을 발견 할 수 있었다.

docBase 는 문서의 주소 이므로, 뒤 문구를 복호화 해야 한다.

Base64 처럼 생겨서, Base64로 디코딩 해보니

http://www.hackthepacket.com/Korean_Thanksgiving_Day/(^O^)/(^O^)//

라는 주소를 얻을 수 있었다.

H3 : YongGAL who was infected by Malware, asked for help from padran, an analytical expert. Search for the name of the infected Malware

힌트인 iframe 으로 전체 파일을 검색하다 보면, comment 데이터에 iframe 태그를 삽입한 흔적을 발견할 수 있다.

해당 패킷으로 TCP stream 하면, User id 인 "GALIGALI" 와 삽입된 주소인 "http://h_@ckGALI.H^T^P.com"

을 확인 가능하다.