本篇文章為Ryan.Chen 設計之 RyanCTF 考題。
任務目標
Perhaps websites without credentials are dangerous! Just use wireshark to eavesdrop on other people’s things… There seems to be a flag between their conversations, try to find it.
也許沒有憑據的網站很危險!只需使用Wireshk竊聽其他人的事物…他們之間的對話之間似乎有一個障礙,請嘗試找到它。
使用工具
Wireshark
作者:Wireshark開發團隊
載點:https://www.wireshark.org/download.html
簡介:免費開源的網路封包分析軟體,能夠截取網路封包,並盡可能顯示出最為詳細的網路封包資料。
目標檔案
您已經透過各種手段取得目標的對話訊息封包「flag.pcapng」 (點我下載)。
進行演練
Step1. 用Wireshark 開啟flag.pcapng,開始粗略觀察一下概況,然後按照之前對付這種題目的經驗,先將較不相關的協定給排除。
Step2. 根據篩選後的結果來觀察,可以發現剩餘的條目充斥的大量HTTP 與 TCP ,那麼我就可以先用 Conversations 來作進一步篩選,最後發現 TCP Port 大部分都是 80 與 443。
Step3. 雖然現在線索指引我們可以去HTTP那邊觀察,但都來Conversations了,還是先在其中找幾個最大的封包查看一下內容,但果不其然沒有任何發現。
Step4. 回去觀察一下HTTP相關的封包,結果看到有做POST的HTTP封包,因為題目提示是對話內容,所以跳過login相關封包,打開路徑描述為 /wp/wp-comments-post.php 的封包看一下,結果發現comment的欄位,嘗試對其內容做URL decode後看到像是在聊天對話的內容,與題目提示有對應到,代表下一步的線索或是Flag就在/wp/wp-comments-post.php 的封包之中!
Step5. 然後在檢查每一個對/wp/wp-comments-post.php 作POST的封包後,成功在最後一個找到FLAG。(提示:可以用篩選語法或Ctrl+F 尋找加快解題速度,在此筆者是使用尋找)
Step6. 將找到的Flag輸入進去,完成這題拿到分數。
免責聲明
未經事先雙方同意,使用本工具攻擊目標是非法的。請遵守當地法律規範。開發者與本作者對此工具不承擔任何責任,也不對任何濫用或損壞負責。
共同作者
本篇文為吳同與Ryan.Chen共同創作。
