BackBox Indonesia - Forensics

Capture The Flag (Created By R3xYn-01`)

Fri, 24 Mar 2017 07:31:06 +0000

Quote:Capture The Flag Created By R3xYn-01`

Pasti orang orang disini udah pada tau, atau bahkan udah sering mencoba Capture The Flag.. Buat yang belum tau, capture the flag merupakan kegiatan explorasi yang biasanya dimulai dengan adanya sebuah tantangan mengenai sebuah pesan rahasia yang harus dipecahkan.. Ya gitu lah pokoknya, Kalo kurang jelas, bisa dicari di thread thread tentang CTF di forum ini..

Oleh karna itu, walau capture the flag hanya sebuah tantangan dari seseorang, namun dengan itu anda bisa memperlajari bagaimana cara membedah file, encrypt, decrypt, dll... Jadi sekarang saya akan memberi sebuah tantangan berupa sebuah file gambar yang merupakan soal Capture The Flag buatan saya sendiri...

Petunjuk :
- Buka file berpassword dengan code yang harus di decrypt (hanya huruf besar dari hasil decrypt)
- Flag (hanya huruf besar dari hasil decrypt)

Soal CTF download disini.

Share VirtualBox File Soal Computer Network Defence CDC 2016

Tue, 06 Dec 2016 04:26:14 +0000

Haloo.. kali ini cuma mau share ulang file OVA ( vbox file ) dari soal CND di CDC tahun ini.
Sebenernya cuma re-share file nya bang budi. soalnya di dropbox suka ilang link nya kalo udh banyak yang download. jadi ane reupload ke kbagi.

Download Soal CND CDC 2016

Detail :

Code:
Ukuran File : 690 MB

Root Password : CDC!@#2016+_)

MySQL Root Password: MySQL!@#2016+_)

Untuk pwmbahasannya bisa langsung ke channel yt BackBox Indonesia saja sudah dibahas tuntas kok.
Channel Youtube BackBox Indonesia

Oke gitu aja dulu wkwk :D

Network Forensic Challenge : Puzzle #1: Ann’s Bad AIM

Fri, 08 Jul 2016 16:28:32 +0000

Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s secret recipe.
Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. Today an unexpected laptop briefly appeared on the company wireless network. Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. The rogue laptop disappeared shortly thereafter.
“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”
You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
Here is your evidence file:
http://forensicscontest.com/contest01/evidence01.pcap
MD5 (evidence.pcap) = d187d77e18c84f6d72f5845edca833f5

Untuk Challenge lain dapat di akses di : http://forensicscontest.com/puzzles

Tutorial MD5 Collision ( SOAL CTF IBT 2016 )

Mon, 09 May 2016 15:13:39 +0000

Assalamualaikum...

Sebelum nya untuk penjelasan mangenai MD5 bisa berkunjung ke : http://www.ilmuhacking.com/cryptography/...berbahaya/

Ane baru tau masalah MD5 Collision setelah ada soal CTF di ctfs.me serta di beritahu oleh bang Farisv, diajarkan oleh bang DewaMahendra dan di jelaskan oleh bang Sohai..

langsung saja

Study Kasus soal ctf di ctfs.me :

Judul soal : Authentication Key
Deskripsi : Validate with yours key :) MD5 is beatifull but something weird happen

link soal : ctfs.me/web/authentication/

Apabila kita mencoba upload dengan file login.key asli ( tanpa di edit ) akan keluar pesan seperti berikut..

Inti nya 1 hal yang ane tau mengenai soal ini, web nya akan memeriksa file .key dan md5sum dari file apabila file dan md5 sum nya sama seperti asli nya akan keluar pesan seperti diatas, tapi apabila bbrp string dalam file login.key diubah akan lolos auth nya tapi dengan syarat MD5SUM nya harus sama dengan file login.key asli nya, untuk itu lahh kita perlu mengubah bbrp string dalam file login.key asli dengan bbrp 'aturan' agar MD5SUM nya bisa sama seperti file login.key asli walau kita mengedit string file login.key tsb..
itu lahh penjabaran dari ane, maaf kalau salah :'(

Setelah membaca artikel di ilmuhacking akhir nya ane sedikit mendapat pencerahan

Ane tidak terlalu mengerti dengan rumus pergantian HEX nya, tapi yang ane pahami dari gambar di atas adalah :

( jarak pemisah )
interval hex d1 ke hex 07 adalah 20 hex
interval hex d1 ke hex f1 adalah 46 hex
interval hex d1 ke hex 72 adalah 60 hex
interval hex d1 ke hex 34 adalah 84 hex
interval hex d1 ke hex 28 adalah 110 hex
interval hex d1 ke hex ab adalah 124 hex

hehe hitung manual, maklum msh noobz >_<

lalu mari kita coba implementasikan langsung..

root@kali # wget https://ctfs.me/web/authentication/login.key
root@kali # cp login.key sirius.key

disini saya langsung edit menggunakan salinan asli dari login.key karena akan diubah bbrp string didalam nya.

gunakan hexeditor kesukaan kalian, disini saya menggunakan GHEX

root@kali # ghex sirius.key

Hex login.key asli

Hex sirius.key ( editan )

setelah di edit lalu save..

Cara perhitungan pergantian HEX nya yaitu ditambah 8 dan menggunakan hex 16 bit ( [0-9] [a-f] ) dan hex yang diambil adalah hex yang paling depan ( sebelah kiri )
lalu mari kita ganti hex nya sesuai dengan interval di atas

hex 68 diganti menjadi E8
cara perhitungan :
6 + 8 = E
7,8,9,a,b,c,d,e

hex 5F diganti menjadi DF
cara perhitungan :
5 + 8 = d
6,7,8,9,a,b,c,d

hex 89 diganti menjadi 09
cara perhitungan :
8 + 8 = 0
9,a,b,c,d,e,f,0

hex 7E diganti menjadi FE
cara perhitungan :
7 + 8 = f
8,9,a,b,c,d,e,f

hex F5 diganti menjadi 75
cara perhitungan :
F + 8 = 7
0,1,2,3,4,5,6,7

hex 1E diganti menjadi 9E
cara perhitungan :
1 + 8 = 9
2,3,4,5,6,7,8,9

cek md5sum nyaa
root@kali # md5sum *
166a408c697fdf8ea5e3cf36588e4646 login.key
166a408c697fdf8ea5e3cf36588e4646 sirius.key
----------------------------------------------------------------------------
Saat nya uji cobaa

buka kembali situs : https://ctfs.me/web/authentication/
lalu upload file .key yang kita edit tadi

Dan akhir nya inspeksi file .key nya lolos dan md5sum nya pun sama dengan file login.key
dan akhir nya berhasil mendapat flag

sekian tutorial yang berantakan dari saya, semoga dapat bermanfaat bagi kita semua..

Special thx to Allah swt then bang Farisv, Bang DewaMahendra, bang sohai dan semua teman2

Pembahasan Soal CTF CDC2015 offline (dump)

Fri, 01 Apr 2016 13:46:38 +0000

assalamualaikum

ngikut om kcnewbie bahas soal ctf CDC2015 offline wokwokwow
tapi kali ane coba bahas yang file dump,

1. ubah dulu permissionnya biar bisa dijalanin XD
tuh keliatan cara gunainnya:

Code:
FLAG: ./dump {password}

2. disambel eh (disassambely) programnya ,menggunakan GDB:

Code:
gdb -q dump

kemudian disassambely main program dengan perintah :

Code:
disas main

perhatikan bagian yang di block. program menggunakan sintaks strncmp , di mana sintaks ini berfungsi membandingkan 2 buah string.potongan sintaks strncmp:

Code:
int strncmp(const char *s1, const char *s2, size_t n);

3. find the Flags

kita sudah tau program menggunakan strncmp , jadi yang kita perlukan trace cara kerja programnya dan 1 buah string untuk membandingkannya dengan Flagsuntuk tracenya bisa gunakan perintah:

Code:
ltrace  tara flagsnya ketemu

tuh keliatan flagnya..

Flagnya : TNIAU+

sekian dari ane..

Tutorial memory forensic dengan volatility

Wed, 16 Mar 2016 18:03:25 +0000

assalamualaikum semua nyaa

hihi langsung saja yaa,
ane buat tutorial nya dalam file .docx karena kalau posting enggk cukup -_-

silahkan di download

Tutorial memory forensic dengan volatility

Pembahasan Soal CTF CDC2015 offline ( Cewek )

Wed, 16 Mar 2016 09:15:24 +0000

Assalamualaikum

haii.... balik lagi nih sama ane.. ckck.. ane kali ini akan menjelaskan tentang tutor yg enggak murni dari ane yg ngerjain sendiri ckckc >_< ..
ane minta pencerahan sekalian sama kang aiden.. wkwk...
kali ini saya akan ngebahas tentang soal CTF CDC 2015 versi offline ...
cekidot..

1. Extract File "CEWEK.exe" di folder tersebut

proses pengekstrakan, kita gunakan tools "BinWalk" dengan perintah:

Code:
binwalk --dd=".*" Cewek.exe

Otomatis binwalk akan membuat folder output data yang berisikan dari isi Cewek.exe tersebut..

Buka Folder yang telah terbuat itu...
kalian akan menemukan beberapa file pdf,zip,dll...

2. Buka File PDFnya

"lah bang kok langsung PDF .. kenapa gk yang lain dulu ?",
yang lain udah ane dan temen ane coba dengan cara yang sama.. dan hasilnya buang buang waktu :v
dia akan terus mengecoh kita wkwk..

BTW itu PDF nya ke Lock..
caranya coba ente pake Pdfcrack

dengan perintah :

Code:
pdfcrack -f 11000 --wordlist=wordlist_ente.txt

dan password pun di temukan ...

found user-password: 'zebra'
jadi password nya zebra.. lalu kita buka file pdf tadi dengan password tersebut..

Congrats .. Flag pun ketemu.. :D

thanks to bang Aiden_ ckckk....

Pembahasan Soal Level 1 CDC 2015 Offline - post.pcapng

Wed, 16 Mar 2016 04:55:09 +0000

assalamualaikum...

saya akan mencoba membahas soal forensic cdc offline 2015..

soal nya dapat didownload disini :

Soal Offline
Pass : soalcdcoffline
sumber soal : forum.explorecrew.org

Soal Level 1. post

Detail Soal :
post.pcapng
md5 : af3a6981ee165752824c439ae420c31a

extensi file tersebut adalah .pcapng yang merupakan packet capture, so langsung saja kita buka dengan wireshark..

terdapat banyak paket, dan ane mulai mencurigai bahwa ini merupakan network sniffing, lalu filter http pada paket tsb

wahhahaha terdapat banyak request dengan method GET, kalau gitu mari kita inget, nama soal nya adalah post.pcapng , haha tau kan mksd saya kek gmn ? yaa bisa aja itu adalah clue bahwa terdapat request dengan method POST pada paket tsb, mari kita filter POST request dengan

Quote:http.request.method eq POST

terdapat 6 paket dengan request POST

dan pada saat itu ane spontan mengira kalau value dari authenticity_token adalah string base64 yang merupakan flag, tapi ternyata ZONKKK !! :3

selanjut kita dapat melihat form user[password] yang sangat mencurigakan, so langsung saja kita ambil nilai2 dari form user[password]

lalu mari kita salin semua nilai dari paket yang terdapat form user[password], hingga hasil nya :

Quote:packet number 3280 : 466c6167206e79
packet number 3483 : KOSONG
packet number 3627 : 61206164616c61
packet number 11714 : 68203a2053316d
packet number 12497 : kita lewati, karen fokus pada form user[password]
packet number 12593 : 706c3368337840

kita susun baik2 dulu :D

Quote:466c6167206e79
61206164616c61
68203a2053316d
706c3368337840

saya rasa ini adalah hex decimal, jadi mari kita decode dengan command xxd pada linux..

yuhuuuu !!
Flag nya adalah : S1mpl3h3x@

selain menggunakan cara diatas, sebenar nya ada cara paling mudah ^_^
kita perlu menggunakan strings lalu filter simbol2 tertentu

Quote:strings post.pcapng | grep flag | cut -d'=' -f5 | cut -d'&' -f1

tinggal di decode aja :D

sekian write up sederhana dari saya, mohon maaf kalau ada salah pemberian definisi dan maaf juga kalau penjelesannya banyak yang missed..

Practical Digital Forensic

Mon, 14 Mar 2016 04:47:12 +0000

assalamualaikum

Terdapat Forensic Challenge dari honeypot (http://old.honeynet.org/scans/scan24/)

Pertanyaan dari challenge tsb adalah sbb :

Make sure you check the MD5 checksum of your download before you unzip it.
Questions
You can find all the criteria for judging and rules at the SotM main page.

Who is Joe Jacob's supplier of marijuana and what is the address listed for the supplier?
What crucial data is available within the coverpage.jpg file and why is this data crucial?
What (if any) other high schools besides Smith Hill does Joe Jacobs frequent?
For each file, what processes were taken by the suspect to mask them from others?
What processes did you (the investigator) use to successfully examine the entire contents of each file?

Bonus Question:

What Microsoft program was used to create the Cover Page file. What is your proof (Proof is the key to getting this question right, not just making a guess).

Bahan Forensic
image.zip
(old.honeynet.org/scans/scan24/image.zip)
md5 : b676147f63923e1f428131d59b1d6a72

Tool yang digunakan :

Foremost
Autopsy
Strings

Tahapan Forensic

Pertanyaan 1-4 baru bisa dijawab setelah kita menyelesaikan pertanyaan no.5 yaitu proses investigasi nya, so let's comple no.5 question :v

untuk mengetahui jenis apakah file image ini kita bisa menggunakan file...

dari output tsb bisa kita lihat bahwa itu merupakan sebuah partisi dengan file system fat12

langsung saja mount partisi tsb..

Terdapat file

cover page.jpgc
SCHEDU~1.EXE

huhuhu cukup mengenaskan karena kedua file tsb tidak bisa langsung kita oprekk :v
tenang untuk investigasi lebih lanjut kita bisa menggunakan autopsy

--------------------- SNIPPPP ------------------------
untuk kelanjutan nya bisa langsung download : Digital Forensic
karena telah melebihi minimum karakter membuat thread

jgn lupaa rep+++ yaa :heart: :heart: :heart:

dan mohon maaf apabila bnyk penjelasan yang missed dan kurang tepat

Steganography SNOW ( Text Message into Text messeage in message )

Sun, 13 Mar 2016 14:04:12 +0000

Assalamualaikum

Kali ini saya akan menjelaskan tentang Steganography .. dengan membahas materi soal SNOW..
apa itu snow ..? Salju... -_- bukan..
SNOW (Steganographic nature of Whitespace) adalah software untuk melakukan Steganografi untuk File Text (Sebagai Media File-nya). File yang disembunyikan di-Encrypt dulu menggunakan algoritma ICE, lalu disisipkan ke dalam Media File nya (Text File) dalam bentuk WhiteSpace di akhir tiap line. Contohnya isi stego nya kira seperti ini (x = white space):

Contoh :

gw gantengxxxxxxxxx

kcnewbie gantengxxxxx

xxx. adalah white space atau pesan yang kita masukan kedalam..
jadi jika dengan kasat mata.. kita buka file yg kita sisipi pesan tadi.. hanya terlihat tulisan gw ganteng dan kcnewbie ganteng..
pesan yang xx itu tak terlihat.. blank .. hehehe.. penasaran ? yok cekidot..

1. download snow nya di link bawah ini :
http://www.darkside.com.au/snow/snow.zip

2. setelah itu .. bisa kalian simpan ke path / directory yang mudah kalian ingat ckkc..
ketika selesai buka console kalian.. dan ketikan perintah..

$unzip snow.zip

$make

3. setelah di compile.. lalu execute script snownya dengan mengketikan perintah:

$ ./snow -C -m "my secret message" -p "kcnewbie" inisnow.txt benersnow.txt

Rincian:

"My Secret Message" << ini adalah pesan rahasia yang ingin kalian sisipkan ke dalam file txt..

-p "kcnewbie" << ini adalah password yang di gunakan jika kalian mendecrypt nya nanti.. ketika mendecrypt script snow akan meminta password..

inisnow.txt << file yang di gunakan untuk mengenkripsi file txt outfile..

benersnow.txt << file yang ingin di enkripsi..

jika seperti di gambar.. berarti file sudah terenskripsi yeaay...

coba kalian lihat file outfilenya..

space yang ane blok biru itu isinya "mungkin" pesan kita yang telah ter enkripsi.. heheh..

Sekarang kita ke tahap Deskripsi...

1. ketikan perintah:
./snow -C -p "kcnewbie" benersnow.txt

nnti akan keluar pesan kita ...

"my secret message" << pesan yang telah kita buat tadi...

maaf kalao pesan sama nama consolnya ngeggabung.. hehe soalnya ane buat pesanya tadi abis pesan.. gk pake spase atau enter.. jadinya gk ada ruang jarak hehe..

oke sekian tutor dari ane..
maaf kalau kata kata ane kurang di fahami / kurang ilmiah..
karna ane ini juga baru belajar..

thanks

Steganography menggunakan Steghide [berpassword]

Sat, 12 Mar 2016 13:41:29 +0000

Assalamualaikum Wr.Wb.

Perkenalkan,saya member baru di forum ini :D dan di Thread pertama saya ini,saya akan berbagi ilmu tentang Steganography!
Sebelumnya sudah ada Thread tentang Steganography di forum ini,tapi disini saya akan berbagi dengan cara yang sedikit berbeda :D

Apa itu Steganograpy?
Steganography adalah teknik menyembunyikan file didalam file.
sebenernya teknik Steganography ini bisa dilakukan dengan berbagai cara gan :D tapi di thread ini saya akan menggunakan Steghide :)
oke! langsung saja!

Sebagai contoh,disini saya akan menyembunyikan CyberCl0wn.txt kedalam cloud.jpg . (saya blm coba pakai format file lain :s mungkin agan agan bisa bereksperimen sendiri. )

1.Siapkan file .jpg dan .txt ,lalu install Steghide dengan command :

#sudo apt-get install steghide

2.setelah itu ketik "steghide embed -cf cloud.jpg -ef CyberCl0wn.txt"

3.nanti agan akan diminta memasukan password/passpharse,silahkan diisi sesuai keinginan anda :)

4.Done!

Cara mengextract/mengeluarkan file yang tadi sudah di hide :

1.steghide extract -sf cloud.jpg

2.masukan password/passpharse nya

3.Done,silahkan cek file nya :D

Terimakasih,semoga bermanfaat :p

Wasalamualaikum Wr.Wb.

steganography like film mr.robbot

Thu, 10 Mar 2016 13:33:01 +0000

assalamualaikum wr. wb.

selamat malam semua :D

kali ini ane akan share tutorial Hide file dengan teknik steganography kaya di film Mr.Robbot :v dan disini ane menggunakan file gambar untuk menyamarkan file yang di hide tersebut

ok, pertama siapkan file yang akan di hide dan compres ke format .zip etc.

buat satu folder dan masukan file yang akan di hide ke dalam folder tersebut, jangan lupa pindahkan juga file gambarnya,

buka terminal dan masuk ke folder yang tadi ente buat, ane disini naruh foldernya di Desktop dan nama foldernya Hide.

cd Desktop/Hide

untuk hide file kita ketik command

cat "file gambar" "file yg di hiden" > "hasil hiden"

contoh :

cat backbox.png hide.zip > bb.png

nah sekarang cek apakah file berhasil di hide, perhatikan size gambar pertama dan gambar yang sudah di masukan file ..

nah untuk tahap hiden sudah selesai,

sekarang pasti muncul pertanyaan " gimana cara munculin kembali file yang sudah di hide ?"

ok , sekarang ente buat satu folder terserah dimana aja, kemudian pindahkan file gambar yang hasil hide ke dalam folder tersebut,

buka terminal dan masuk ke folder tadi, disini ane naruh filenya di Desktop/Hide/boker

cd Desktop/Hide/boker

untuk nampilkan filenya ketik command

unzip "gambar hasil hiden"

contoh : unzip bb.png

udah deh tinggal ente cek filenya,,

Sekian dari ane Semoga Bermafaat :D

Wassalam !

Tutorial Menggunakan Autopsy Forensic Browser

Thu, 10 Mar 2016 11:34:11 +0000

Tutorial Menggunakan Autopsy Forensic Untuk Digital Forensic - Autopsy adalah tool yang dibuat menggunakan bahasa perl yang kenggunaan nya untuk melakukan digital forensic, autopsy dapat melakukan analyze terhadap Disk Image serta Partition.

Tujuan menggunakan Autopsy adalah agar dapat melakukan analize terhadap File System yang dapat menjadi Evidence atau bukti.

1. Menjalakan Autopsy
berhubung saat penulisan posting saya menggunakan kali linux jadi cara menjalankan nya

Quote:Klik Applications >> forensic >> autopsy
atau ketik pada terminal
root@localhost:~# autopsy

akses autopsy dengan browser pilihan kalian sendiri
http://localhost:9999/autopsy

2. Pembuatan New Case
Tujuan pembuatan New Case adalah agar kita dapat mudah mengakses kasus kasus sehingga tidak tercampur dengan kasus forensic lain nya
Klik New Case

isikan Case Name hingga Investigator Name nya sesuai keinginan. lalu klik lagi New Case, setelah itu langsung saja klik Add Host pada Creating Case

3. Membuat Host Baru
Pada step ADD NEW HOST isi Host Name terserah contoh nya Forensic1, untuk nomor 2-6 adalah optional, bisa tidak disi.

Setelah itu Klik Add Host, lalu akan redirect ke Step Adding host dan langsung klik ADD IMAGE

4. Menambahkan Image File
Klik Add Image File

Pada form Location masukan lokasi dari image file yang ingin dilakukan forensi..

[+] /root/Downloads/image <-- merupakan lokasi file image yang merupakan sebuah partisi FAT12

[+] Pada Type masukan sesuain dengan type dari image file nya, apabila berupa disc pilih disc apabila berupa partisi pilih partition, pada kasus Type nya adalah FAT12 yang merupakan Partition.

[+] Pada bagian import method silahkan pilih sesuai keinginan dan saya yakin kalian sangat familiar dengan ke 3 pilihan tersebut. Dan saya memilih symlink karena sudah punya salinan lain nya, jadi apabila FIle System tersebut rusak tidak menjadi mesalah.

setelah semua selesai langsung saja klik Next

Lalu akan muncul seperti gambar diatas lalu klik ADD ->> OK

Sampai tahap ini setup pada kasus pada autopsy sudah selesai, tinggal kita melakukan analyza terhadap File System dari kasus yang kita buat, untuk tutorial analyze nya saya akan buat pada postingan berikut nya kalau ada waktu.. insya Allah

Cara Ekstrack file pada wireshark

Wed, 09 Mar 2016 03:52:13 +0000

assalamualaikum
salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya

terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ

selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

Bagi yang ingin file nya bisa download google drive