Ta tiếp tục với loạt bài giải các câu đố của picoCTF 2013. Lần này, ta sẽ gặp câu hỏi về đọc gói tin PCAP. Nói rõ hơn, đây là gói tin của Wireshark tạo ra khi thực hiện quá trình bắt gói tin truyền trên mạng.

first-contact

Nếu thấy đề khó hiểu thì bạn có thể quay ngược lại đọc các kỳ trước trong loạt bài này. Đại ý là bạn tìm thấy file PCAP chứa các packet được gửi đi qua mạng. Trong đó, nếu đọc ra được các gói tin đó thì bạn sẽ tìm được tọa độ của con tàu chở con robot này.

Và đề bài cũng nói luôn rằng, nếu máy bạn không cài sẵn Wireshark thì cũng không sao cả, họ hỗ trợ cho Cloudshark xài luôn.

Do máy tôi vừa gỡ bớt phần mềm ra cho nhẹ máy, nên cũng không còn Wireshark để thực hành, do đó tôi chọn xài công cụ trực tuyến của ban tổ chức.

Trong rất nhiều thể loại, cái nào cũng làm khó tui, nhưng cái vụ đọc PCAP này là…đau khổ nhất. Không biết đọc! haha =)))))

Nhưng hên làm sao, cái file PCAP này bắt được các gói tin không bị mã hóa nội dung. Nếu muốn xem từng gói tin trong danh sách, bạn có thể nhấp vào từng gói và xem nội dung được hiển thị tương ứng. Nhưng như vậy quá mất thời gian, ta sẽ dùng tính năng Follow TCP Stream cho nhanh.

tool.PNG

Mà ta phải chọn gói tin nào để mà Follow TCP Stream? Nếu chỉ nhấp đại thì nhiều khi kết quả không ra đúng như ta cần. Do đề tiết lộ là PCAP này chứa thông tin gửi đi tọa độ, ta phải biết thế nào là quá trình kết nối giữa hai host để có thể thiết lập kênh truyền. Chính là quá trình bắt tay 3 bước (three way handshake)

Đùa thôi, không có RST (Reset) phũ phàng vậy đâu. Ta chọn gói tin SYN đầu tiên, sau đó dùng công cụ Follow Stream của Cloudshark để xem kết quả.

3 way handshake.PNG

Gói tin tôi lựa chọn nằm ở dòng thứ 7.

result

Ra được nội dung rồi. Đáp án chính là 37 14’06″N 115 48’40″W

VÕ TÌNH THƯƠNG

votinhthuong9@gmail.com

Advertisements