ctf.wargame.vn For100 | 100

Tèo và Tũn đã chế ra một chương trình G**Chat và 2 người trao đổi bí mật gì đó ?!. May thay thằng Tí hàng xóm đã nghe lén được 2 thằng chat nhưng tất cả đều đã bị mã hoá :(.
secure_chat_secure_flag.zip Flag có dạng: teaser_********_a.b.c.d (với a.b.c.d là Public IP Address của Tèo).

Nếu như bạn thấy teaser_this_is_not_the_flag_:p thì tất nhiên đấy không phải là flag, là một trò đùa của Tèo chăng ?!
If you see "teaser_this_is_not_the_flag..." then...yup, that is not the real flag :)


Mở 1 cái hình sẽ thấy dòng chữ: dGVhc2VyX3RoaXNfaXNfbm90X3RoZV9mbGFn
Đây là dạng base64, thử decode xem: teaser_this_is_not_the_flag
Như BTC đã nói, đây không phải flag rồi :D

Bây giờ xem ở trong file pcap, follow các gói tin TCP stream có filter là "tcp.stream eq 0" ta được 1 vài thông điệp:

Hello there!..........................SGVsbG8gdGhlcmU=

aSdtIGhlcmUsIHdhc3N1cD8=
a2VlcCBteSBzZWNyZXQ6IGh0dHA6Ly8xMC4wLjIuMi9mbGFnLmpwZw==

b2theSE=

Ta decode bằng base64 thử

Hello there

 i'm here, wassup?

 keep my secret: http://10.0.2.2/flag.jpg

 okay!

Vậy là flag được lưu trữ ở địa chỉ  http://10.0.2.2/flag.jpg

Ta follow TCP stream có giao thức HTTP và phương Thức GET /flag.jpg (filter: tcp.stream eq 3)

GET /flag.jpg HTTP/1.1
Host: 10.0.2.2
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 200 OK
Date: Wed, 24 Jul 2013 17:13:13 GMT
Server: Apache/2.2.22 (Ubuntu)
Last-Modified: Wed, 24 Jul 2013 17:10:31 GMT
ETag: "154025b-40b2-4e244fca26fc0"
Accept-Ranges: bytes
Content-Length: 16562
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: image/jpeg

 Vậy là flag nằm trong file flag.jpg này

Ta sẽ lấy nó bằng cách: chọn File => Export Objects => HTTP và save file flag.jpg lại

Trong file flag.jpg có nội dung giống như hình trước, chỉ khác 1 cái là có thêm 2 chuỗi ở cuối file
dGVhc2VyX2ZsYWdfaXNfdGhlX21pZGRsZSE=

Cái chuỗi này rất dễ nhìn nhầm số và chữ khi nhìn trên hình và viết.

Ta decode ra thế này:  teaser_flag_is_the_middle!

Giờ chỉ còn thiếu Public IP của thằng Tèo thôi, ta xem tiếp file pcap
Ta follow TCP stream HTTP có phương thức GET /ipxml.php

GET /ipxml.php HTTP/1.1
Host: www.tsql.d
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 200 ODate: Wed, 24 Jul 2013 17:12:47 GMT
Server: Apache
X-Powered-By: PHP/5.2.17
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=200
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html

4e
<?xml version="1.0" encoding="utf-8"?><a>
<showmyip ip="115.75.129.106"/>
</a>
0
public IP thằng tèo là 115.75.129.106

Vậy Flag là:  teaser_flag_is_the_middle_115.75.129.106