03-16-2016, 04:55 AM
assalamualaikum...
saya akan mencoba membahas soal forensic cdc offline 2015..
soal nya dapat didownload disini :
Soal Offline
Pass : soalcdcoffline
sumber soal : forum.explorecrew.org
Soal Level 1. post
Detail Soal :
post.pcapng
md5 : af3a6981ee165752824c439ae420c31a
extensi file tersebut adalah .pcapng yang merupakan packet capture, so langsung saja kita buka dengan wireshark..
![[Image: YDBIJFK.png]](http://i.imgur.com/YDBIJFK.png)
terdapat banyak paket, dan ane mulai mencurigai bahwa ini merupakan network sniffing, lalu filter http pada paket tsb
![[Image: AjwbHWC.png]](http://i.imgur.com/AjwbHWC.png)
wahhahaha terdapat banyak request dengan method GET, kalau gitu mari kita inget, nama soal nya adalah post.pcapng , haha tau kan mksd saya kek gmn ? yaa bisa aja itu adalah clue bahwa terdapat request dengan method POST pada paket tsb, mari kita filter POST request dengan
![[Image: 3rXvbLM.png]](http://i.imgur.com/3rXvbLM.png)
terdapat 6 paket dengan request POST
dan pada saat itu ane spontan mengira kalau value dari authenticity_token adalah string base64 yang merupakan flag, tapi ternyata ZONKKK !! :3
![[Image: ebBlrsn.png]](http://i.imgur.com/ebBlrsn.png)
![[Image: dpYbeME.png]](http://i.imgur.com/dpYbeME.png)
selanjut kita dapat melihat form user[password] yang sangat mencurigakan, so langsung saja kita ambil nilai2 dari form user[password]
![[Image: uiiAAOr.png]](http://i.imgur.com/uiiAAOr.png)
lalu mari kita salin semua nilai dari paket yang terdapat form user[password], hingga hasil nya :
kita susun baik2 dulu :D
saya rasa ini adalah hex decimal, jadi mari kita decode dengan command xxd pada linux..
![[Image: UDuKpPb.png]](http://i.imgur.com/UDuKpPb.png)
yuhuuuu !!
Flag nya adalah : S1mpl3h3x@
selain menggunakan cara diatas, sebenar nya ada cara paling mudah ^_^
kita perlu menggunakan strings lalu filter simbol2 tertentu
![[Image: aNit8WB.png]](http://i.imgur.com/aNit8WB.png)
tinggal di decode aja :D
sekian write up sederhana dari saya, mohon maaf kalau ada salah pemberian definisi dan maaf juga kalau penjelesannya banyak yang missed..
saya akan mencoba membahas soal forensic cdc offline 2015..
soal nya dapat didownload disini :
Soal Offline
Pass : soalcdcoffline
sumber soal : forum.explorecrew.org
Soal Level 1. post
Detail Soal :
post.pcapng
md5 : af3a6981ee165752824c439ae420c31a
extensi file tersebut adalah .pcapng yang merupakan packet capture, so langsung saja kita buka dengan wireshark..
terdapat banyak paket, dan ane mulai mencurigai bahwa ini merupakan network sniffing, lalu filter http pada paket tsb
wahhahaha terdapat banyak request dengan method GET, kalau gitu mari kita inget, nama soal nya adalah post.pcapng , haha tau kan mksd saya kek gmn ? yaa bisa aja itu adalah clue bahwa terdapat request dengan method POST pada paket tsb, mari kita filter POST request dengan
Quote:http.request.method eq POST
terdapat 6 paket dengan request POST
dan pada saat itu ane spontan mengira kalau value dari authenticity_token adalah string base64 yang merupakan flag, tapi ternyata ZONKKK !! :3
selanjut kita dapat melihat form user[password] yang sangat mencurigakan, so langsung saja kita ambil nilai2 dari form user[password]
lalu mari kita salin semua nilai dari paket yang terdapat form user[password], hingga hasil nya :
Quote:packet number 3280 : 466c6167206e79
packet number 3483 : KOSONG
packet number 3627 : 61206164616c61
packet number 11714 : 68203a2053316d
packet number 12497 : kita lewati, karen fokus pada form user[password]
packet number 12593 : 706c3368337840
kita susun baik2 dulu :D
Quote:466c6167206e79
61206164616c61
68203a2053316d
706c3368337840
saya rasa ini adalah hex decimal, jadi mari kita decode dengan command xxd pada linux..
yuhuuuu !!
Flag nya adalah : S1mpl3h3x@
selain menggunakan cara diatas, sebenar nya ada cara paling mudah ^_^
kita perlu menggunakan strings lalu filter simbol2 tertentu
Quote:strings post.pcapng | grep flag | cut -d'=' -f5 | cut -d'&' -f1
tinggal di decode aja :D
sekian write up sederhana dari saya, mohon maaf kalau ada salah pemberian definisi dan maaf juga kalau penjelesannya banyak yang missed..