InfoSec CTF Training: Level 6 & 7 Resolved

En este caso, vamos a hacer una entrada doble sobre los desafios de CTF.

Como siempre mostramos, vamos a ver la presentacion del nivel 6.

presentacion

Presentacion al Nivel 6

Vamos a proceder a la descarga del archivo PCAP. Estos archivos poseen informacion sobre comunicaciones de redes. Vamos a simplificarlo con un ejemplo.

Tenemos una red con dos computadoras, A y B. Cuando establecen una comunicacion, provocan trafico en la red. Un archivo PCAP, a grandes rasgos, posee esa informacion que se transmite.

La aplicacion mas conocida para analizar trafico de red es Wireshark, por lo que es la elegida para este desafio. Wireshark esta disponible tanto para Linux como para Windows.

Sigamos con el desafio. Una vez descargado el archivo, vamos a abrirlo con Wireshark, para obtener lo siguiente.

ws

$ wireshark sharkfin.pcap

wireshark

Archivo listo para examinarse.

A simple vista, ¿ ustedes que piensan que es lo que vamos a revisar de esos 5 topicos (Frame 1, Ethernet II, Internet Protocol Version, User Datagram Protocol y Data) ? Yo diria Data, que seguro debe tener informacion sobre los datos transmitidos 😀

Ubicados sobre este topico, vamos a hacer Click Derecho + Follow UDP Stream. Con esto se podra ver lo que se ha capturado en la comunicacion, en este caso UDP (tambien hay muchos casos donde las conexiones son TCP o SSL). Vamos a obtener lo siguiente: un codigo en hexadecimal.

hexa

La DATA importante.

Vamos a decodificarlo, yo lo hare con la siguiente herramienta online y obtenemos el resultado del sexto nivel.

res6

Resultado final.

Resultado: infosec_flagis_sniffed

Sigamos con la presentacion del siguiente nivel.

presentacion nivel 7

Presentacion confusa del nivel 7

Si se fijan, la URL de los demas niveles eran ‘levelone.php, leveltwo.php …’, y este cambio rotundamente a 404.php. Vamos a tratar de poner nosotros manualmente la URL, y la cambiaremos a /levelseven.php y no nos vamos a encontrar un mensaje de error, sino una pagina en blanco. ¿ Raro no ?

pagina blanco

Pagina en blanco, pero sin errores. Aca hay algo.

Vamos a hacer una prueba, visualizando las cabeceras que se transmitan a la hora de conectarnos contra la pagina. Para ello, voy a usar el complemento Live HTTP Headers para Firefox.

cabeceras

Viendo las cabeceras en la comunicacion, se nota un codigo base64 bastante peculiar.

Remarcado en la imagen, hay un valor algo raro, ¿ no ? Es un codigo en Base64, asi que es momento de decodificarlo con alguna herramienta Online, en mi caso la siguiente.

2015-04-19-201751_1366x768_scrot

¡ Nuevo desafio terminado !

Obteniendo asi, el resultado del 7 nivel.

Resultado: infosec_flagis_youfoundit

 

¡ Gracias por leer la entrada doble !

DynamicSec.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s