NEW CONTENT RANDOM THREAD Unread Post

Pembahasan Soal Level 1 CDC 2015 Offline - post.pcapng

by Aiden_ - 03-16-2016 at 04:55 AM
Aiden_
From Nothing To Be Something
Moderators
Posts:
49
Joined:
Mar 2016
Likes:
0
Reputation:
0
2 Year Of Member
#1
OP
Posted: 03-16-2016, 04:55 AM (This post was last modified: 03-16-2016, 05:06 AM by Aiden_.)
assalamualaikum...


saya akan mencoba membahas soal forensic cdc offline 2015..


soal nya dapat didownload disini :

Soal Offline
Pass : soalcdcoffline
sumber soal : forum.explorecrew.org

Soal Level 1. post

Detail Soal :
post.pcapng
md5 : af3a6981ee165752824c439ae420c31a

extensi file tersebut adalah .pcapng yang merupakan packet capture,  so langsung saja kita buka dengan wireshark..

[Image: YDBIJFK.png]
terdapat banyak paket, dan ane mulai mencurigai bahwa ini merupakan network sniffing, lalu filter http pada paket tsb

[Image: AjwbHWC.png]
wahhahaha terdapat banyak request dengan method GET, kalau gitu mari kita inget, nama soal nya adalah post.pcapng , haha tau kan mksd saya kek gmn ? yaa bisa aja itu adalah clue bahwa terdapat request dengan method POST pada paket tsb, mari kita filter POST request dengan


Quote:http.request.method eq POST

[Image: 3rXvbLM.png]
terdapat 6 paket dengan request POST

dan pada saat itu ane spontan mengira kalau value dari authenticity_token adalah string base64 yang merupakan flag, tapi ternyata ZONKKK !! :3
[Image: ebBlrsn.png]

[Image: dpYbeME.png]

selanjut kita dapat melihat form user[password] yang sangat mencurigakan, so langsung saja kita ambil nilai2 dari form user[password]
[Image: uiiAAOr.png]
lalu mari kita salin semua nilai dari paket yang terdapat form user[password], hingga hasil nya :


Quote:packet number 3280 : 466c6167206e79
packet number 3483 : KOSONG
packet number 3627 : 61206164616c61
packet number 11714 : 68203a2053316d
packet number 12497 :  kita lewati, karen fokus pada form user[password]
packet number 12593 : 706c3368337840

kita susun baik2 dulu :D

Quote:466c6167206e79
61206164616c61
68203a2053316d
706c3368337840

saya rasa ini adalah hex decimal, jadi mari kita decode dengan command xxd pada linux..

[Image: UDuKpPb.png]

yuhuuuu !!
Flag nya adalah : S1mpl3h3x@

selain menggunakan cara diatas, sebenar nya ada cara paling mudah ^_^
kita perlu menggunakan strings lalu filter simbol2 tertentu



Quote:strings post.pcapng | grep flag | cut -d'=' -f5 | cut -d'&' -f1

[Image: aNit8WB.png]


tinggal di decode aja :D


sekian write up sederhana dari saya, mohon maaf kalau ada salah pemberian definisi dan maaf juga kalau penjelesannya banyak yang missed..
root@localhost:~# cat something.txt
Dompu Linuxer
I'm Nothing Without Allah
Message
Reply
Find Posts
Register an account or login to reply
Create an account
Create a free account today and start posting right away. It only takes a few seconds.
Login
Log into an existing account.
Navigation
Latest News
Bugtracker
Team
Mark forum as read
Community
Banlist
Usergroups
Memberlist
Statistics
Help/Account
Help Documents and Rules
Contact
Login
Create an account
About Us
Forum Backbox Indonesia adalah salah satu media pembelajaran bagi siapa saja yang ingin belajar mengenai dunia Open Source khususnya untuk memperdalam Backbox Linux.
Posts:
971
Members:
1322
Threads:
199
Resources:
0
New :
spongebob