Dreamhack - sleepingshark

[LEVEL 2 - sleepingshark - forensics]

 

 

 

문제 설명은 Do shark sleep? 가 끝이다.

 

문제 파일 다운로드 받으면 dump.pcap 파일이 들어있다.

wireshark로 열어주면 아래와 같이 나온다.

 

 

 

SELECT문 있는 요청 부분을 눌러보면 위와 같이 나오는데, 이 문자열을 복사해서 dreamhack cyberchef에서 Url decode를 시켜보면 flag값이 맞으면 3초동안 잠드는 것으로 예측할 수 있다. (즉, Time Based SQL Injection을 하는 페이로드임)

 

 

 

 

 

양이 너무 많아서 노가다로 푸는 것은 힘들 것 같았다. 그래서 일단 첫 번째로 3초 잠드는 구간을 찾아본다.

위 캡처 사진에서 619번과 623번 패킷의 time을 보면 4.7초대에서 7.7초대로 넘어간 걸 알 수 있다. 이 문자열을 복사해서

 

 

 

 

 

마찬가지로 URL decode 시켜보면 flag의 인덱스 1번째 값이 71의 아스키코드값인 G라는 것을 알 수 있다.

 

 

 

 

 

이 부분도 역시 9891번과 9894번 패킷의 time을 보면 16초대에서 19초대로 넘어간 걸 알 수 있다.

해당 문자열 복사해서 

 

 

 

 

 

url decode 해보면 flag의 인덱스 10번째 값이 66의 아스키코드값인 B라는 것을 알 수 있다.

 

 

 

 

 

 

대략적으로 어떤식으로 flag값이 만들어지는지 알았으니까 이제 pcap 파일을 쉽게 분석할 수 있게 해주는 파이썬 dpkt 라이브러리를 이용해서 위와 같이 코드를 작성한다.

코드를 실행시키면 3초 잠든 패킷들을 통해 얻은 각각의 값들을 조합한 최종 flag값이 나오게 된다.

 

 

 

 

 

 

 

플래그를 획득했다!