Hackthepacket WriteUp ##DoubleB## LQ. telnet 은다보여 LEQ : telnet Hint : Key is telent Password FILE : 3.Q_2(Leopardan) Sol) Idea : 힌트에따라 TELNET 프로토콜을필터링

Hackthepacket WriteUp ##DoubleB## LQ. telnet 은다보여 LEQ : telnet Hint : Key is telent Password FILE : 3.Q_2(Leopardan) Idea : 힌트에따라 TELNET 프로토콜을필터링하여 FollowStream 을통해데이터흐름을본다. 3.Q_2(Leopardan).pcap 을와이어샤크로불러온다. ( 필터링을안한상태 )

telnet 프로토콜을필터링 telnet 프로토콜통신패킷중하나를골라 Foolow TCP Stream 을한다.

TELNET 통신내용을볼수있으며그중 p@ssword 값을확인할수있다. Answer : HTPLEO!!!

LQ : 인터넷쇼핑중에실행된웹쉘을찾아라!!!!! LEQ : Find a file name of webshell which was run during enjoying web surfing!!!!! Hint : IIS 세미콜론취약점을이용한웹쉘 (This vulnerability is in IIS. Very contraversial URI.) FILE : 4.Q_2(wootang) Idea : IIS 취약점을대상으로한웹쉘은보통.asp 확장자를가지고있다. Asp 를 find 한다. [Ctrl] + [F] 단축키를이용하여 asp 를 Strung 으로검색한다. O+ne~Line@w&eb!sh@ell.asp;.jpg 로웹셀을.jpg 확장자로위장시켜 POST 방식으로업로드한흔적이있다. Answer : O+ne~Line@w&eb!sh@ell.asp;.jpg

MQ : 누군가 80 포트를통해나의중요한파일을삭제했다. MEQ : Someone defaced my system via 80 port and deleted very important file of mine. Hint : METHOD vulnerability. check the contents of uploaded file. FILE : 8.Q_2(GAL) Idea : 메소드값이힌트다. 업로드관련된메소드중심으로찾는다. 열자마자고맙게도 iuzzang.txt 를 PUT 이라는메소드로업로드한패킷을볼수있다. Follow TCP Stream 을한다.

w26d@v@ttack 이라는내용이적힌 iuzzang.txt 파일의데이터흐름을확일할수있다. (Export Object -> HTTP 를사용해서직접 iuzzang.txt 파일을열어볼수도있다.) Answer : w26d@v@ttack

MQ. 메일보고이곳으로와!! MEQ : check you mail and come here! Hint : Use your fingers FILE : 5.Q_2(luli) Idea : pcap 파일을열어보면이것저것파일들이많이오고간흔적들이보인다. Explort Object 를통해어떤파일들이추출되는지본다. Export Objects HTTP 를누른다.

덤프된많은파일들을 Save All 을눌러저장한다. 파일들을살펴보다보면 qr_code.gif 파일을볼수있다. 이 qr 코드를스캔해보면답이나온다. Answer : my_chelsea ( 마이첼시 )

MQ. 뭐가궁금해? 네이버에서 search 해봐! MEQ : Do you wonder? Search it on naver! Hint : When you find a search keyword on naver, translate it to English. * If you find the keyword 에이비씨 ", Key should be ABC FILE : 2.Q_1(luli).pcap Idea : 네이버는검색할때 get 메소드를사용한다. 동일한구문을검색한다. 네이버에서 네이버 를검색하면위와같이 get 메소드로검색된다. 이때검색값은자동으로 URL 인코딩이된다. 공통적으로사용될만한 search.naver?where=nexearch&query= 를와이어샤크에서검색한다. search.naver?where=nexearch&query= 를 Find 하면네이버에서검색한흔적이있는패킷이 발견된다.

%EC%97%90%EC%9D%B4%EC%B9%98%ED%8B%B0%ED%94%BC URL 인코딩이되어검색된 것을알수있다. 이제이값을 URL 디코딩한다. URL 디코더로디코딩한값 : 에이치티피 Answer : HTP

MQ : 이번엔어디로놀러갈까?( 미완성 ) MEQ : where do you want to go Hint : hexdecode %% steganography FILE : 1.Q_1(arum) Export Object 를하면위와같은파일들을얻을수있다. 압축파일을열면 where_do_you_want_to_go.png 라는파일이압축되어있는것을볼수있다. 하지만비밀번호가걸려있다. 이비밀번호를우회하거나풀어야되는단계에있다.

HQ : 동건이는악성앱을설치하였다. 이때정보가빠져나갔다. 빠져나간시각을찾아라. HEQ : Donggun installed malicious android application. when Information is stoled? FILE : 6.Q_1(disaster) Idea : 악성앱도어플리케이션이다. 어플리케이션을통해 /sed_sim_no.php 값이전송된흔적이있는패킷값을확인할수있다. Follow Stream 을하면빠저나간 sim_no(01020959911) 와 datetime 이 url 인코딩되어빠져나간것을알수있다. 2013-10-10+10%3A20%3A52 를 URL 디코딩하면 2013-10-10+10:20:52 이된다. Answer : 10:20:52

HQ : 메신저로전달된우탱이먹고싶은라면에이름은? (key 형식은 XXXX_XXXX 공백은언더바 ) HEQ : Wootang send a photo which he want to eat at night. What animal relate with this food? Hint : nateon, * Key format is the animal name of related food. If you find a fried chicken, the answer should be chicken. FILE : 7.Q_3(wootang) Idea : 네이트온을이용한채팅이면 User-Agent: NATEON 이있는헤더가있을것이다. 헤더를검색하기위해 Packet details 에체크를하고검색을하면패킷이나온다.

PNG 데이터의흐름을확인할수있다. Export Object 를이용한다. 라면이름을확인할수있다. 너구리를영어로써준다. Answer : raccoon_dog 혹은 Nyctereutes procyonoides ( 답제출기간이늦어문제기준으로둘 중어떤것이답인지모름 )