System 문제로 Wireshark를 이용한 패킷 분석 문제입니다.
"SuNiNaTaS.com"의 멤버의 password를 찾을 수 있냐고 합니다.
우선 패킷들을 보면 네이버를 갔던 정보도 있고 다양하게 많습니다.
그리고 password를 알아내려면 아마 로그인 시도를 할 때 전해졌을 것입니다.
많은 양의 패킷을 일일이 확인할 수 없기 때문에 필터를 줘봅니다.
로그인을 시도했고 성공했다면 "200 ok"가 나올거라 생각하고 아래와 같이 필터를 줍니다.
또한 "Packet detail"로 "String" 검색을 통해 password라는 글자를 찾아봅니다.
눈으로 확인할 수 있을 정도의 패킷들이 모아졌습니다.
해당 패킷들은 모두 각각의 정보를 가지고 있고 뿔뿔히 흩어져있기 때문에
"Tcp stream" 기능을 이용하여 관련된 패킷을 하나로 모아줍니다.
"Tcp stream" 기능으로 하나로 뭉쳐진 패킷을 확인해봅니다.
빨간색으로 나온 부분이 요청한 부분이고, 파란색으로 나온 부분이 응답한 내용입니다.
아래로 쭉 내려오다보면 blackkey/blackkey 로 요청한 내용을 확인할 수 있습니다.
하지만 그 응답을 보시면 "200 ok"가 되었지만 location.reload()를 보니 올바른 값이 아닌거 같습니다.
"Hpw" 가 password를 보낼때 사용하는 이름인걸 알았으니 찾기로 해당 문자열을 찾아보면 총 4개를 발견할 수 있습니다.
Hid=suninatas&Hpw=suninatas Hid=blackkey&Hpw=blackkey Hid=ultrashark&Hpw=sharkpass01 Hid=ultrashark&Hpw=%3Dsharkpass01 |
하지만 그중에 Hid=ultrashark&Hpw=%3DSharkPass01 이 부분만이 다른 응답이 오는걸 알 수 있습니다.
password를 찾았으니 이거로 인증하면 될가 싶었는데.. 안되더군요.
이리저리 다 해봤는데 안되서 약간의 도움을 받았습니다.
해당 값으로 실제 로그인을 해보시면 인증값을 뿌려준다는 사실을 알았고.. 로그인해보니 인증키를 뿌려주던군요 ㅜ
'WarGame > SuNiNaTaS' 카테고리의 다른 글
| SuNiNaTaS_12 [MISC] (0) | 2018.09.19 |
|---|---|
| SuNiNaTaS_29 [FORENSIC] (0) | 2018.09.15 |
| SuNiNaTaS_5 [WEB] (0) | 2018.09.13 |
| SuNiNaTaS_31 [FORENSIC] (0) | 2018.09.13 |
| SuNiNaTaS_17 [MISC] (0) | 2018.09.12 |