Cara Ekstrack file pada wireshark

assalamualaikum
salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari  flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya


terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ


selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

Bagi yang ingin file nya bisa download google drive

(03-09-2016, 03:52 AM)Aiden_ Wrote: salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari  flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya


terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ


selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

NB:: bagi yang mau file .pcap nya nanti ane uploadkan

Mantab,mas..
share ilmu yang lainnya lagi,mas.

---

up up up

(03-09-2016, 05:09 AM)code sec7or Wrote:

(03-09-2016, 03:52 AM)Aiden_ Wrote: salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari  flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya


terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ


selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

NB:: bagi yang mau file .pcap nya nanti ane uploadkan

Mantab,mas..
share ilmu yang lainnya lagi,mas.

yup pasti bang itu
abang juga share dong ilmu nyaaa :D

---

(03-09-2016, 10:20 PM)Aiden_ Wrote:

(03-09-2016, 05:09 AM)code sec7or Wrote:

(03-09-2016, 03:52 AM)Aiden_ Wrote: salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari  flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya


terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ


selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

NB:: bagi yang mau file .pcap nya nanti ane uploadkan

Mantab,mas..
share ilmu yang lainnya lagi,mas.

yup pasti bang itu
abang juga share dong ilmu nyaaa :D

hahahahaha..nunggu laptop sehat walafiat dulu dah,mas.
Kalo sempat akan share ilmu juga. :D

---

(03-09-2016, 10:20 PM)Aiden_ Wrote:

(03-09-2016, 05:09 AM)code sec7or Wrote:

(03-09-2016, 03:52 AM)Aiden_ Wrote: salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari  flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya


terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ


selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

NB:: bagi yang mau file .pcap nya nanti ane uploadkan

Mantab,mas..
share ilmu yang lainnya lagi,mas.

yup pasti bang itu
abang juga share dong ilmu nyaaa :D

bang maaf saya mau tanya, saa make cara 1 dan 2 jadinya " End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
unzip:  cannot find zipfile directory in one of ads.zip or
        ads.zip.zip, and cannot find ads.zip.ZIP, period."

sedangkan pake cara 3 yang keluar bukan flag.txt malah garbage.0

terima kasih sebelumna

(04-15-2016, 09:58 PM)cikipiw Wrote:

(03-09-2016, 10:20 PM)Aiden_ Wrote:

(03-09-2016, 05:09 AM)code sec7or Wrote:

(03-09-2016, 03:52 AM)Aiden_ Wrote: salam kenal ane member baru :D
dan ini adalah thread pertama ane ..

beberapa waktu lalu ane gabung di grup FB KSL stikom bali dan ada member yang kasih chellenge buat cari  flag pada paket capture .pcap

buka wireshark, lalu open file .pcap nya


terdapat banyak capture paket, ane iseng aja filter protokol 'http'

wow terdapat 5 paket yang menggunakan protokol 'http'

hal yang pertama ane lakuin adalah melihat isi dari secret.txt
klik kanan pada paket number 1147 -->> follow tcp stream , dan akan terlihat ternyata file tersebut berisi password unutk file .zip

lalu bagaimana kita mengambil file flag.zip ?

cara manual :
cara 1:
sebenar nya paket number 715 dan 1045 adalah binnary dari file zip,
klik kanan --> folow tcp stream --> save as flag.zip

cara 2:
dengan mencari file sesaui dgn file signature nya
file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs

http://www.garykessler.net/library/file_sigs.html

tekan ctr + f, lalu masukan 50 4B 03 04 pada hex value lalu klik find

akan ototmatis mengarah pada paket number 1139
klik klik kanan paket tsb --> folllow tcp stream --> save as

ekstrack file zip tadi dan ada file flag.txt

root@localhost:~/Desktop# cat flag.txt
Flag-qscet5234diQ

menggunakan tool
saya menggunakan foremost, foremost juga merupakan tool forensic carving .
root@localhost:~/Desktop# foremost -v -o flagg -i 4545700e0e0dbc27cc964791f1cd30fa.pcap

lalu ekstrack file zip yang berada di flagg/zip

Flag : Flag-qscet5234diQ


selain foremost bisa juga menggunakan chaosreader...

semoga dapat bermanfaat :D

NB:: bagi yang mau file .pcap nya nanti ane uploadkan

Mantab,mas..
share ilmu yang lainnya lagi,mas.

yup pasti bang itu
abang juga share dong ilmu nyaaa :D

bang maaf saya mau tanya, saa make cara 1 dan 2 jadinya " End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
unzip:  cannot find zipfile directory in one of ads.zip or
        ads.zip.zip, and cannot find ads.zip.ZIP, period."

sedangkan pake cara 3 yang keluar bukan flag.txt malah garbage.0

terima kasih sebelumna

coba jgn extrack via terminal
coba extrack langsung lewat archives manager ( GUI ) nya

---

ia kang saya lg mnta live cd backbox sama teman saa

50 4B 03 04 << ini dapet dari mana kang angkanya ?

---

(05-11-2016, 02:50 AM)kcnewbie Wrote: 50 4B 03 04 << ini dapet dari mana kang angkanya ?

file signature dari file zip = 50 4B 03 04 yang ane dapatkan dari situs
http://www.garykessler.net/library/file_sigs.html

---