Puppetmatryoshka5 min read

Bentornati su Exploitnetworking! Puppetmatryoshka era una misc challenge del ctf SECTCTF 2018 dove era necessario ispezionare un file pcap.

Il primo step è aprire il file con Wireshark, e come possiamo vedere ci sono tre pacchetti del protocollo kismet. I dati di questi pacchetti iniziano con BZh91AY&SY, che è l’header dei file bz2:

Estraiamo i dati in un file per decomprimerli, selezioniamo quindi prima il secondo pacchetto (perché ha una dimensione più grande rispetto agli altri), clicchiamo su “Analizza->Flusso->Flusso TCP”. Adesso selezioniamo “Grezzo” e salviamo tutto su un file:

Ok ora abbiamo un file bz2, proviamo a estrarre tutti i files per esaminarli:

Copy to Clipboard

pk2 è un filesystem, proviamo a montarlo:

Copy to Clipboard

Ok, nel filesystem c’è un file 7-zip, estraiamo il suo contenuto:

Copy to Clipboard

in questo archivio c’è un file di testo con del base64. Proviamo a decodificarlo:

Copy to Clipboard

Abbiamo ottenuto un file OpenDocument. Apriamolo con Libreoffice:

Come possiamo vedere c’è una firma non valida, proviamo ad aprirla:

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept
2018-09-18T20:02:56+00:00

About the Author:

Dottore in Informatica. Da sempre appassionato di Linux, reti informatiche, sicurezza e, in modo amatoriale, all’elettronica. Il mio intento è quello di trasmettere le mie conoscenze ad altri appassionati.

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.