ネットワークなCTFっぽいもの〜01の楽しみ方
遅くなってしまいましたが、これの楽しみ方です。
まず、ざっと見た感じで気になるところ。
とりあえずファイルを抽出してみる。
にチェックが入っていれば、
Preferences>Protocols>HTTP>Reassemble HTTP bodies spanning multiple TCP segments
でファイルを抽出できる。
File>Export>Objects>HTTP
ファイルをチェック。
パスワードが要求されるので"joe"や"@&Hya+psL(!k+LlkNMp10}_ldo*^~^w@"を試してみる。
$ file file
file: RAR archive data, v1d, os: Win32
$ unrar e file
Extracting from file
Enter password (will not be echoed) for dum:
Enter password (will not be echoed) for text:
No files to extract
"@&Hya+psL(!k+LlkNMp10}_ldo*^~^w@"が通った。
$ unrar e fileExtracting from file
Enter password (will not be echoed) for dum:
Extracting dum OK
text - use current password ? [Y]es, [N]o, [A]ll yExtracting text OK
All OK
$ file *
dum: data
file: RAR archive data, v1d, os: Win32
text: Non-ISO extended-ASCII text, with CRLF line terminators$cat text
・・・・・・・・
文字化けして読めないので、手っとりばやくエディタでw
ん…?
$ gedit text &windowsのfsutilコマンドを使ってみました。
例)fsutil file createnew dum 1572864
なんだかオール0っぽい感じ。
$ hexdump -C dum | less
00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
00180000
ということで、このrarはフェイクでしたw
ではどこなのか。
ネットワークによく触れている人は違和感を感じていたかもしれないのですが、
VRRPのアドバタイズの間隔がデフォルトより長いんですよね。
VRRPとは(ざっくりと)
このネットワークではVRRPのアドバタイズがデフォルト1秒→約5秒に変更されている。
ということは、マスタールータが落ちたとバックアップルータが判断するまでに、
通常の(3秒+α)→(15秒+α)かかってしまう。
やっぱりちょっと変。
VRRPパケットのみ抽出してみる。
途中でマスタールータが変わっている。
変わった前後のパケットを見てみる。
プライオリティが変わっているわけでもなく、アドバタイズの間隔も変わっていない。
あれ?おかしくない?
送信元10.0.64.3のVRRPをじっくり見てみる。
No147だけAuth Typeが1になっていて、Authentication stringに値が入っている。
6e656b6f→neko
で、答えがnekoでした。
純粋にネットワークだけで作ろうと思っていて、途中のファイルも明らかにダミーと分かるようにしたのですが、
もうちょっとひねればよかったです。
実は99%が生のパケットなので、実際にネットワークを考えて組むのが楽しかったり、また大変だったりでした。
一応めげずに第二弾の案はあるのですが、中々思うようにpcapとして形にできないので、いつになることやら…
もしできたらまたお付き合いいただければと思います。
ありがとうございました。