have a Young's

문제에는 pcapng 파일이 주어진다. 172.112.93.7 가 192.168.98.130 으로 계속해서 Ping을 보내는 것을 확인할 수 있다. 따라서 의심가는 IP는 172.112.93.7 이다. FLAG fiesta{172.112.93.7} 문제 2 - 1에서 이어지는 문제다. 의심되는 IP (172.112.93.7)을 검색했을 때 이 IP가 사용한 프로토콜은 ICMP임을 확인할 수 있다. FLAG fiesta{ICMP} 문제 2-1과 2-2에 이어지는 문제다. 의심되는 IP가 전송한 패킷 데이터를 보면 "."과 "-"로 이루어진 데이터를 볼 수 있다. 0x2e = . 0x2d = - IP 주소가 172.112.93.7이고 ICMP 유형이면 각 패킷의 데이터를 필드로 지정하고 필드만 출력하는 명령..

문제에는 pcapng 파일이 1개 주어진다. NetworkMiner로 열기 위해 pcapng파일을 pcap 파일로 변환시켰다. 공격자와 서버의 IP 주소를 알아냈다. 공격자 : 192.168.152.130 서 버 : 192.168.152.129 공격자와 서버의 ip를 필터링을 걸어 패킷을 확인했다. 공격에 성공한 패킷을 확인했을 때 /password_chage.cgi 에서 bas64로 인코딩된 문자열을 발견했다. 해당 공격을 구글링해서 webmin 원격코드 실행 취약점이라는 것을 알아냈다. https://www.cvedetails.com/cve/CVE-2019-15107/ CVE-2019-15107 : An issue was discovered in Webmin

문제에는 .pcap 파일이 제공된다. 프로토콜을 정렬해보면 EAPOL 패킷을 확인할 수 있다. EAP Enscapsulation over LAN (EAPOL) : LAN, WAN을 통해 EAP 인증 메세지 패킷을 캡슐화하여 전달하는 프로토콜 (802.1X에서 정의됨) ( http://www.ktword.co.kr/test/view/view.php?m_temp1=1843 ) Version (1 바이트) : 1 EAPOL 타입 (1 바이트) - 0 (EAPOL-Packet) . 캡슐화된 EAP 프레임을 운반 . 주고받는 EAPOL 프레임 대부분이 이 타입임 . Body Length = 가변 . 이때의 Body는, EAP 프레임이 수납됨 - 1 (EAPOL-Start) . 사용자단말측이 Authenticato..

https://youung.tistory.com/88 이 문제는 위 링크에서 이어지는 문제이다. 웹 서버의 호스트 이름을 찾으면 된다. IP Addr 문제에서, 서버 ip는 192.168.1.5 였으니, 해당 패킷을 확인하면 호스트 이름을 찾을 수 있을 것이다! 해당 패킷을 확인했더니 웹 서버 호스트 이름은 nanomate-solutions.com 임을 확인 할 수 있었다! FLAG BDSEC{nanomate-solutions.com}

문제 파일은 Wireshark capture file로 주어졌다. 서버 ip와 공격자 ip를 찾아내야 하는 문제다. 캡쳐 파일을 프로토콜 순으로 정렬하고 HTTP 부분을 확인해보면 서버 ip는 192.168.1.5 공격자 ip는 192.168.1.7 을 찾아낼 수 있었다! FLAG BDSEC{192.168.1.5_192.168.1.7}

문제 파일은 Wireshark capture file로 주어졌다. 공격자의 C&C 서버의 주소를 찾아내야 하는 문제다. C&C (Command & Control)서버란? : 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나, 악성코드를 제어하는 서버를 말한다. 캡쳐 파일을 프로토콜 순으로 정렬하고 HTTP 부분을 확인했더니 2개의 ip주소가 보였다. flag는 fiesta{md5(공격자 IP 주소)} 형식이므로 두 개의 ip 모두 flag 형식으로 만들어 제출해보았을 때 공격자의 IP는 116.38.182.214 이다. FLAG fiest{554f0075dfe484d48b19b7b8824dd8ec}