shpik's world!

[TrendMicroCTF 2016] Misc -100pts

0x400 CTF

문제로써 tcpdump파일이 주어졌다.

이를 wireshark를 이용해 열어보았다.



ISAKMP, ARP, ESP, TELNET등...의 protocol통신을 함을 알 수 있고, telnet의 경우는 통신한 내용을 그대로 확인 할 수 있으므로, Follow TCP Stream을 통해 통신 내용을 확인 해 보았다.


위와 같은 Follow TCP Stream의 내용 중에 아래와 같은 명령어를 통해 ESP를 decrypt할 수 있는 키 값을 얻을 수 있다.

.]0;reds@localhost:~.[reds@localhost ~]$ sudo ip xfrm state

.sudo ip xfrm state

[sudo] password for reds: ynwa

.

src 1.1.1.11 dst 1.1.1.10

.proto esp spi 0xfab21777 reqid 16389 mode tunnel

.replay-window 32 flag 20

.auth hmac(sha1) 0x11cf27c5b3357a5fd5d26d253fffd5339a99b4d1

.enc cbc(aes) 0xfa19ff5565b1666d3dd16fcfda62820da44b2b51672a85fed155521bedb243ee

src 1.1.1.10 dst 1.1.1.11

.proto esp spi 0xbfd6dc1c reqid 16389 mode tunnel

.replay-window 32 flag 20

.auth hmac(sha1) 0x829b457814bd8856e51cce1d745619507ca1b257

.enc cbc(aes) 0x2a340c090abec9186c841017714a233fba6144b3cb20c898db4a30f02b0a003d

src 1.1.1.10 dst 1.1.1.11

.proto esp spi 0xeea1503c reqid 16389 mode tunnel

.replay-window 32 flag 20

.auth hmac(sha1) 0x951d2d93498d2e7479c28c1bcc203ace34d7fcde

.enc cbc(aes) 0x6ec6072dd25a6bcb7b9b3b516529acb641a1b356999f791eb971e57cc934a5eb

src 1.1.1.11 dst 1.1.1.10

.proto esp spi 0xd4d2074d reqid 16389 mode tunnel

.replay-window 32 flag 20

.auth hmac(sha1) 0x100a0b23fc006c867455506843cc96ad26026ec0

.enc cbc(aes) 0xdcfbc7d33d3c606de488c6efac4624ed50b550c88be0d62befb049992972cca6


이를 wireshark을 통해 ESP프로토콜로 통신한 내용을 decrypt해보면 아래와 같이 나옴을 알 수 있다.


[ decrypt 전 ]

[  decrypt 후 ]

decrypt후의 패킷을 보면 /img/flag.png를 확인할 수 있다.

이를 추출하면 아래와 같은 flag를 얻을 수 있다.


[ flag.png ]