Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
Tags
- 포렌식
- nefus
- webhacking.kr
- 웹해킹
- xcz
- CTF
- C언어
- DVP
- 블록체인
- 시스템
- 포너블
- kangsecu
- 버그헌팅
- wargame.kr
- 네퓨즈
- 선린인터넷고등학교
- 워게임
- WarGame
- webhacking
- 해킹
- 프로그래밍
- 정보보안
- Pwnable
- 보안
- 버그바운티
- 문제풀이
- 코드게이트
- 자료구조
- 정보보호
- hacking
Archives
- Today
- Total
kangsecu's B1og
2014 CodeGate F150 write up 본문
문제에 들어가면 pcap파일을 준다. 처음에 와이어샤크로 열었는데 EPB의 전체 블럭 길이 96이 4270407998byte의 패킷 데이터 길이에 비해 너무 작다는 에러가 났다.
헥스에디터로 열었는데 포맷 형식이 pcap헤더와 다름 > pcap은 헤더 맨처음 매직넘버가 0xa1b2c3d4이거나 0xd4c3b2a1여야하는데 다르다.
pcap-ng(pcap next generation)라는 파일 포맷이고 EPB는 블럭의 한 종류로 Enhanced Packet Block라는 걸 알게됨 구글링엄청 했다.
그리고 헥스에디터로 보니까 토탈 길이가 캡쳐 길이보다 작음;; 토탈길이가 0x00000060 = 96이고 캡쳐길이가0xFE89413E = 4270407998임 이게 말이된다고 생각함? 그래서 캡쳐길이를 패킷길이랑 같게 3E00 0000으로 바끄니 pcap가 열림
이제 와이어샤크에서 pcap를 열어보니까 http패킷들이 있다. 좀 보다가 Export Object를 이용해서 몇몇 파일들을 축출했다.
multiple.pdf를 다운받고 열어보니 flag가 있다.
이상
'Forensic' 카테고리의 다른 글
| 2014 Olympic CTF 200 (2) | 2018.08.26 |
|---|---|
| 2012 CSAW f100,f200 write up (0) | 2018.07.30 |
| 2011 CodeGate ISSUES100 write up (0) | 2018.07.29 |
'Forensic' Related Articles
more
