Cybercamp 2016 – Crypto 6

Publicada el 6 diciembre, 2016 por KALRONG

Siguiendo los writeups de la Cybercamp 2016, ya sé que no voy por orden, hoy os traigo otro de cripto.

Nos dan el siguiente enunciado:

CRYTO 6

El seleccionador de fútbol de Brasil, harto de que sus jugadores se pasen el día de chisme en chisme en Facebook y Twitter, ha prohibido el uso de Internet para sus jugadores. No obstante, seguimos viendo actualizaciones en de un jugador de la selección.

¿Sabes cual va a ser su próxima actualización?

Mirror1: https://mega.nz/#!bBhzEYxL!dD95W1D1dDsx6UyW7huvyLJPi9UNOzDhUsDjq-IIiBo

Mirror2: https://mega.nz/#!K8NiEJSA!dD95W1D1dDsx6UyW7huvyLJPi9UNOzDhUsDjq-IIiBo

Y un archivo info.pcap el cual trae muy pocos paquetes lo cual nos ayuda algo, si nos quedamos solo con los paquetes UDP con el origen 172.16.10.164 vemos que tienen un puerto de origen en común pero el de destino varia. ¿Os suena algo parecido?

Para que nos sea un poco más sencillo ver los puertos de destino utilizamos tshark de la siguiente manera:

tshark -2 -R "udp.srcport==5050 && !(icmp)" -n --disable-protocol chargen -r info.pcap
  1   0.000165 172.16.10.164 → 172.16.10.1  UDP 1042 5050→2 Len=1000
  2   0.010928 172.16.10.164 → 172.16.10.1  UDP 1042 5050→19 Len=1000
  3   0.022582 172.16.10.164 → 172.16.10.1  UDP 1042 5050→1 Len=1000
  4   0.038902 172.16.10.164 → 172.16.10.1  UDP 1042 5050→20 Len=1000
  5   0.051425 172.16.10.164 → 172.16.10.1  UDP 1042 5050→9 Len=1000
  6   0.063830 172.16.10.164 → 172.16.10.1  UDP 1042 5050→12 Len=1000
  7   0.075404 172.16.10.164 → 172.16.10.1  UDP 1042 5050→9 Len=1000
  8   1.078036 172.16.10.164 → 172.16.10.1  UDP 1042 5050→20 Len=1000
  9   1.090926 172.16.10.164 → 172.16.10.1  UDP 1042 5050→14 Len=1000
 10   2.093515 172.16.10.164 → 172.16.10.1  UDP 1042 5050→9 Len=1000
 11   2.106277 172.16.10.164 → 172.16.10.1  UDP 1042 5050→3 Len=1000
 12   3.110228 172.16.10.164 → 172.16.10.1  UDP 1042 5050→5 Len=1000

Esto nos deja con la siguiente lista de puertos:

2,19,1,20,9,12,9,20,14,9,3,5

Esta vez parece que nos han dado posiciones, seguramente de las letras en el abecedario, vamos a probar a ver que encontramos con el siguiente script:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

abecedario=['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'ñ', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z']
code=[2,19,1,20,9,12,9,20,14,9,3,5]

output=""
for i in code:
	output+=abecedario[i-1]
print output

Y ahí tenemos la flag!

brasilisnice

Otro writeup cortito pero que espero que os haya gustado, gracias por la visita!

 

Esta entrada fue publicada en cripto, ctf, cybercamp. Guarda el enlace permanente.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.