(03-09-2016, 03:52 AM)Aiden_ Wrote: salam kenal ane member baru :DMantab,mas..
dan ini adalah thread pertama ane ..
beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari flag pada paket capture .pcap
buka wireshark, lalu open file .pcap nya
terdapat banyak capture paket, ane iseng aja filter protokol 'http'
wow terdapat 5 paket yang menggunakan protokol 'http'
hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip
lalu bagaimana kita mengambil file flag.zip ?
cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip
cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs
http://www.garykessler.net/library/file_sigs.html
tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find
akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as
ekstrack file zip tadi dan ada file flag.txt
root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ
menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap
lalu ekstrack file zip yang berada di flagg/zip
Flag : Flag-qscet5234diQ
selain foremost bisa juga menggunakan chaosreader...
semoga dapat bermanfaat :D
NB:: bagi yang mau file .pcap nya nanti ane uploadkan
![[Image: iSdBFDF.png]](http://i.imgur.com/iSdBFDF.png)
![[Image: hwdXw7F.png]](http://i.imgur.com/hwdXw7F.png)
![[Image: kFhUUtN.png]](http://i.imgur.com/kFhUUtN.png)