Bueno pues vamos con algunass soluciones sobre el laboratorio de cydefe del área de análisis de paquetes.

Packet Analysis PA 1:100

How will the users continue the conversation?

 

Este reto recoge una conversación de un chat en IRC, al abrirlo con NetworkMiner se lee claramente la conversación y nos encontramos con este mensaje:

if you think you are in trouble we should resolve this matter quickly give me bravo and charlie now and we will get you out

FLAG : bravoandcharlie

Packet Analysis PA 2:100

Find the shell session and identify what was written to a file.

 

Packet Analysis PA 2.5:200

Find the flag in the capture

Abrimos el pcap con NetworMiner otra vez

encontramos un archivo que extraemos arrastrandolo al escritorio

Selección_020.png

el archivo contiene este base64: b25lIHR3byBidWNrbGUgbXkgZnJlYWtpbmcgc2hvZQo= procedemos a decodificarlo

Flag: one two buckle my freaking shoe

Packet Analysis PA 3:300

Find the flag in the capture

El archivo contiene un fichero de transmisión ftp que se extrae al escritorio:
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Parece ser un base64 que se va a proceder a decodificar obteniendo esta salida de la decodificación:
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Parece que el cifrado era correcto y a ver si es posible volver a pasarle el nuevo texto y obtener algo más claro:

Selección_023.png

Parece que vamos bien y que se nos descarga un archivo.

decoded.png

Ya se ha obtenido la flag.

Flag: 2_4_shut_the_front_door!

Packet Analysis PA 4:400

__________________________________

Packet Analysis PA 5:500

For this file remember that data is sometimes sent in unexpected protocols. Also sometimes you need to stitch data back together to analyze it properly. Happy hunting!

Se presenta un pcap que rápidamente se observa que usa un cifrado wep o wpa/wpa2, si se analiza en profundidad el paquete se puede observar que también está implementada la firma tkip, es el momento de pasar a bash para obtener la flag.

tshark -r pa5.cap -Y “wlan.ssid”

Con esto está confirmado que se está delante de un cifrado de los antes mencionados. Para romper este cifrado se debe aplicar fuerza fruta pero en este caso es algo más tedioso comparado con algún otro reto que he realizado de este tipo dado que las herramientas online para convertir el archivo pa5.pcap a hccapx no soportan el tamaño pero this is not a problem, usaremos este repositorio c de github para lograr el objetivo

wget https://raw.githubusercontent.com/hashcat/hashcat-utils/master/src/cap2hccapx.c

cuando se tenga descargado se debe compilar:

gcc  cap2hccapx.c -o cap2hccapx & chmod +x cap2hccapx

ahora debemos lanzar la conversion:

./cap2hccapx pa5.cap pa5.hccapx

Es el momento de lanzar la fuerza bruta contra el hash para romper el cifrado por ataque de diccionario: (Este proceso tardará varias horas).

hashcat –force -a 0 -m 2500 pa5.hccapx rockyou.txt

Obteniendo en un rato moderado el valioso hash

7fb39793f30b080860f56319e80b33d6:4480ebadb276:00026f90e374:Shadow Moses:slaphappy

ahora vamos a intentar limpiar el pcap para obtener el cifrado en texto plano con airdecap-ng: “la opcion -p hace referencua a que insertamos una clave wpa”

airdecap-ng -e “Shadow Moses” -p slaphappy /root/Descargas/pa5.cap -o file

Si se abre el archivo file se obtiene el pcap legible en texto plano, si se filtra los paquetes mandados entre las direcciones IP con el siguiente filtro:

(ip.dst == 192.168.43.8) && (ip.src == 192.168.43.17)

se aprecian unos echo ping a través de los cúales es posible transportar texto, si exportamos solo los paquetes del filtro a un nuevo pcap y le tiramos strings se obtiene el siguiente texto:

ony, is that you….? I’ve been trapped down in your workshop for 3 days now!!
Jarvis wont let me out without the “password” he says???
He wont even let me make a call!!
So what is the password!
HEY I’ve about had it with this stupid A.I.!!!!
FINALLY!……..Oh is that so…Well…Thanks for telling me.
pause
(nothing happens)

Siento deciros que Cydefe ha cerrado la plataforma antes de obtener el flag, pero claramente este era el camino para resolver el reto.

Anuncios