CyberClass - Networking Challenges

 Một ngày trời mát mẻ, gió thổi cho còn đúng cái nịt thì tôi bắt gặp được thử thách về Network do CyberClass tổ chức, và như bản năng vốn có của tôi: TÔI SẼ GIẢI NÓ!!!!!!

Đầu tiên chúng ta hãy tải hai file tương ứng với hai challenge mà chúng ta cần giải về máy của mình tại đây:

Vào vấn đề chính thôi, đầu tiên mình sẽ giải challenge đầu tiên ở file có tên là CyberClass.pcapng; thì bên họ đã cho mình form của Flag cần tìm là CBK{...}. Và sau đây là thông tin chúng ta cần tìm:

1. IP của hacker
2. Tên file được hacker để trên hệ thống
3. Thời gian file được tạo 

Và bây giờ mình sẽ mở file này bằng công cụ Wireshark. Sau 1 quá trình ngồi tìm kiếm thì mình thấy tại file này có giao thức HTTP, vậy chắc chắn đây là log của 1 trang web. Và mình quyết định đào sâu hơn vào giao thức này, mình sẽ nhập http vào trường tìm kiếm để liệt kê toàn bộ những thứ liên quan đến http:

Ta thấy web có tham số tên là cmd và nó chứa 1 số request như: cat index.php; echo ..... Vậy chắc chắn 1 điều web này đã dính Command Injection. Và khi ta để ý kĩ ta sẽ thấy có request là echo ... > note.... (echo <nội-dung> > file là tạo file mới với nội dụng bất kì .... ). Và với yêu cầu mà mình đặt ra ban đầu, thì mình đã xác định được file mà hacker để lại ở trên máy và cũng chính tại đây ta cũng đã tìm được IP của hacker (thằng hacker này ngu vãi kkk). Còn thời gian mà file này tạo ra thì ta chỉ cần Chuột phải + Follow + HTTP: 

Xong 1 bài, còn bài nữa, ta mở ngay file thứ hai lên:

Sau 1 hồi lướt qua file thì mình thấy file phần lớn là UDP (nếu muốn biết UDP là gì thì hãy vào đây). Mình thì cũng không có suy nghĩ gì nhiều và mình bật UDP stream lên (cách bật như bài trên):

Và khi mình xem thì cũng không có thông tin gì quan trọng. Lúc này thì mình cũng bắt đầu hơi bí vì tìm toàn bộ thông tin trong này mà không có cái nào giúp mình kiếm được flag hết. Đang lúc bí bách bức bối thì mình mới chợt để ý đến câu lệnh mà mỗi lần ta bật stream lên thì nó xuất hiện: udp stream eq 4. Trong đầu mình đã tổng quát câu lệnh này thành udp stream <number>, và mình thắc mắc vậy number ở đây có nghĩa là gì. Nó khiến mình search Google 1 hồi lâu thì mình tìm được 1 số thông tin khá là hay: "Here Number reflects the stream number which has to be followed to get various data packets.". Vậy tức là với number khác nhau thì những thông tin nhận được sẽ khác nhau, và mình chắc chắn rằng flag nằm number nào đó.... Và mình thử tất cả các số trừ số 4 ra (vì nó đã được xét ở ảnh trên) và mình đã tìm thấy flag khi set number thành 6....

Flag 1: CBK{Do_it_yourself}
Flag 2: picoCTF{Do_it_yourself}