GerakSendiri (106 pts)

Author: 53buahapel
Could you analyze this?

Pada soal ini kita diberikan file chall.pcapng dan sebuah instance server yang berisi beberapa pertanyaan. Saya menggunakan kode berikut untuk connect ke server.

import asyncio
import websockets

async def connect_to_websocket(uri):
    async with websockets.connect(uri) as websocket:
        print("Connection opened!")

        while True:
            try:
                # get message from server
                message = await websocket.recv()
                print(f"{message.decode()}")

                # send input
                user_input = input("Enter message: ")

                # input handling
                if user_input.lower() == 'exit':
                    break
                else:
                    await websocket.send(user_input + '\n')

            except websockets.ConnectionClosed:
                print("Connection closed!")
                break
            except Exception as e:
                print(f"Error: {e}")
                break


uri = "wss://ctf.intechfest.cc/api/proxy/079b7720-7140-44ea-82b5-337de9c52dff"
asyncio.get_event_loop().run_until_complete(connect_to_websocket(uri))

Langsung saja jawab pertanyaannya.

[1/6] What is the device that attacker use to attack victim device? (answer in lowercase e.g. cpu)

Jika dilihat di Wireshark, pada file ini semua interaksi-nya menggunakan protokol Bluetooth.

Answer: bluetooth

[2/6] What is the victim bluetooth name? (answer in lowercase e.g. ujang)

Pada salah satu paket (yang berada cukup awal), disebutkan nama device attacker serta victimnya.

Answer: asep

[3/6] What is the victim device MAC address (e.g. 00:11:22:33:44:55)

Jawabannya dapat ditemukan di tempat yang sama dengan jawaban No. 2.

Answer: 10:82:d7:92:50:80

[4/6] What is the first app that attacker use to open victim whatsapp? (answer in lowercase e.g. twitter)

Di sini attacker menggunakan "https://wa.me" untuk mengakses WhatsApp, oleh karena itu attacker menggunakan browser.

Answer: browser

[5/6] What is the message that attacker send to victim whatsapp?

Sebagaimana terlihat pada soal No. 4, pada file capture ini kita bisa melihat key yang “ditekan” attacker pada keyboard. Sebagai contoh, nilai dari key dapat dilihat pada packet seperti berikut.

Di sini, terdapat bagian “02 00 11”. Byte “02” menunjukkan bahwa tombol SHIFT ditekan, dan byte “11” menunjukkan bahwa key yang ditekan adalah huruf “n”. Dengan begitu, karakter yang dihasilkan adalah “N”. Tentu di sini keyboard tidak menggunakan value ascii, tapi menggunakan standar USB (Hal. 53). Maka dari itu, saya membuat script berikut untuk membaca packet-packet keyboard ini dan mengekstrak karakternya.

from scapy.all import *

keymap = {
            '04': 'a', '05': 'b', '06': 'c', '07': 'd', 
            '08': 'e', '09': 'f', '0a': 'g', '0b': 'h', 
            '0c': 'i', '0d': 'j', '0e': 'k', '0f': 'l', 
            '10': 'm', '11': 'n', '12': 'o', '13': 'p', 
            '14': 'q', '15': 'r', '16': 's', '17': 't', 
            '18': 'u', '19': 'v', '1a': 'w', '1b': 'x', 
            '1c': 'y', '1d': 'z', '1e': '1', '1f': '2', 
            '20': '3', '21': '4', '22': '5', '23': '6', 
            '24': '7', '25': '8', '26': '9', '27': '0', 
            '28': '\n', '2b': '\t', '2c': ' ', '2d': '-',
            '2e': '=', '2f': '[', '30': ']', '31': '\\',
            '32': '`', '33': ';', '34': '\'', '35': '`', 
            '36': ',', '37': '.', '38': '/'}
keymap_shift = {
            'a': 'A', 'b': 'B', 'c': 'C', 'd': 'D', 'e': 'E',
            'f': 'F', 'g': 'G', 'h': 'H', 'i': 'I', 'j': 'J',
            'k': 'K', 'l': 'L', 'm': 'M', 'n': 'N', 'o': 'O',
            'p': 'P', 'q': 'Q', 'r': 'R', 's': 'S', 't': 'T',
            'u': 'U', 'v': 'V', 'w': 'W', 'x': 'X', 'y': 'Y',
            'z': 'Z',
            '1': '!', '2': '@', '3': '#', '4': '$', '5': '%',
            '6': '^', '7': '&', '8': '*', '9': '(', '0': ')',
            '-': '_', '=': '+', '[': '{', ']': '}', 
            ';': ':', "'": '"',
            ',': '<', '.': '>', 
            '/': '?',
            '`': '~',
            '\\': '|'
}

# get char from keyboard value
def convert_char(byte_value, shift):
    char = keymap[format(byte_value, '02x')]
    if shift:
        char = keymap_shift[char]
    return char

msg = ''

packets = rdpcap('chall.pcapng')

# iterate all packets, filter those that 
# ...contain keyboard value, length = 24
for i, packet in enumerate(packets):
    shift_on = False
    if len(bytes(packet)) == 24:
        data = bytes(packet)

        # data in this position checks if SHIFT button is pressed
        if data[15] == 2:
            shift_on = True

        # data in this position tells the values
        try:
            char = convert_char(data[17], shift_on)
            msg += char
        except:
            continue
        
print(msg)

Pesan yang dikirim adalah string yang ditulis tepat setelah link whatsapp, yakni l33t1337

Answer: l33t1337

[6/6] Attacker trying to open browser again in private mode, there are an attachment that you can see.

Pertanyaan ini terjawab bersamaan dengan pertanyaan No. 5. Dengan meng-klik link undipmail yang diketikkan oleh attacker, kita akan mendapatkan sebuah video yang memiliki sebuah teks.

Answer: akhirnya aku dapet flag asikkkk

Flag: INTECHFEST{bluetooth_could_be_dangerous_5dff7d}

PreviousAlin (113 pts)NextDetails (100 pts)

Last updated 1 year ago

hashtag[1/6] What is the device that attacker use to attack victim device? (answer in lowercase e.g. cpu)

hashtag[2/6] What is the victim bluetooth name? (answer in lowercase e.g. ujang)

hashtag[3/6] What is the victim device MAC address (e.g. 00:11:22:33:44:55)

hashtag[4/6] What is the first app that attacker use to open victim whatsapp? (answer in lowercase e.g. twitter)

hashtag[5/6] What is the message that attacker send to victim whatsapp?

hashtag[6/6] Attacker trying to open browser again in private mode, there are an attachment that you can see.