Bentornati su Exploitnetworking! Puppetmatryoshka era una misc challenge del ctf SECTCTF 2018 dove era necessario ispezionare un file pcap.

Il primo step è aprire il file con Wireshark, e come possiamo vedere ci sono tre pacchetti del protocollo kismet. I dati di questi pacchetti iniziano con BZh91AY&SY, che è l’header dei file bz2:

Estraiamo i dati in un file per decomprimerli, selezioniamo quindi prima il secondo pacchetto (perché ha una dimensione più grande rispetto agli altri), clicchiamo su “Analizza->Flusso->Flusso TCP”. Adesso selezioniamo “Grezzo” e salviamo tutto su un file:

Ok ora abbiamo un file bz2, proviamo a estrarre tutti i files per esaminarli:

Copy to Clipboard

pk2 è un filesystem, proviamo a montarlo:

Copy to Clipboard

Ok, nel filesystem c’è un file 7-zip, estraiamo il suo contenuto:

Copy to Clipboard

in questo archivio c’è un file di testo con del base64. Proviamo a decodificarlo:

Copy to Clipboard

Abbiamo ottenuto un file OpenDocument. Apriamolo con Libreoffice:

Come possiamo vedere c’è una firma non valida, proviamo ad aprirla:

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept