LoginSignup
0
0
@housu_jp

setodaNote CTF Digdig を tshark 無しで解く

Last updated at Posted at 2024-02-08

DNSを使ったC2通信を解明するトレーニングになる。
tshark のインストールに失敗したので、力技で解く
Wireshark で Queries の Name カラムを表示してから、CSVエクスポートする。

image.png

csv を 表計算ソフトで開き、Name 列をメモ帳にコピペする。

image.png

Name.txt
dns.google
dns.google
00500000LFI2358AA31.setodanote.net
00500000LFI2358AA31.setodanote.net
00500000LFI2358AA31.setodanote.net
00500000LFI2358AA31.setodanote.net
00500000LFI2358AA32.setodanote.net
00500000LFI2358AA32.setodanote.net
00500000LFI2358AA32.setodanote.net
00500000LFI2358AA32.setodanote.net
00500000LFI2358AA33.setodanote.net
00500000LFI2358AA33.setodanote.net
00500000LFI2358AA33.setodanote.net
00500000LFI2358AA33.setodanote.net
005aa002735f69735f44414d.setodanote.net
005aa002735f69735f44414d.setodanote.net
005aa002735f69735f44414d.setodanote.net
005aa002735f69735f44414d.setodanote.net
005aa00663655f7472795f53.setodanote.net
005aa00663655f7472795f53.setodanote.net
005aa00663655f7472795f53.setodanote.net
005aa00663655f7472795f53.setodanote.net
005aa0034d595f464c41477d.setodanote.net
005aa0034d595f464c41477d.setodanote.net
005aa0034d595f464c41477d.setodanote.net
005aa0034d595f464c41477d.setodanote.net
005aa0085f746861747d2066.setodanote.net
005aa0085f746861747d2066.setodanote.net
005aa0085f746861747d2066.setodanote.net
005aa0085f746861747d2066.setodanote.net
005aa00a6c61677b444e535f.setodanote.net
005aa00a6c61677b444e535f.setodanote.net
005aa00a6c61677b444e535f.setodanote.net
005aa00a6c61677b444e535f.setodanote.net
005aa00b5333637572313779.setodanote.net
005aa00b5333637572313779.setodanote.net
005aa00b5333637572313779.setodanote.net
005aa00b5333637572313779.setodanote.net
005aa0076f7272795f666f72.setodanote.net
005aa0076f7272795f666f72.setodanote.net
005aa0076f7272795f666f72.setodanote.net
005aa0076f7272795f666f72.setodanote.net
005aa00420666c6167206973.setodanote.net
005aa00420666c6167206973.setodanote.net
005aa00420666c6167206973.setodanote.net
005aa00420666c6167206973.setodanote.net
005aa0096c61672069732066.setodanote.net
005aa0096c61672069732066.setodanote.net
005aa0096c61672069732066.setodanote.net
005aa0096c61672069732066.setodanote.net
005aa00c5f5431303731217d.setodanote.net
005aa00c5f5431303731217d.setodanote.net
005aa00c5f5431303731217d.setodanote.net
005aa00c5f5431303731217d.setodanote.net
005aa011797d323232323232.setodanote.net
005aa011797d323232323232.setodanote.net
005aa011797d323232323232.setodanote.net
005aa011797d323232323232.setodanote.net
005aa00d20666c6167206973.setodanote.net
005aa00d20666c6167206973.setodanote.net
005aa00d20666c6167206973.setodanote.net
005aa00d20666c6167206973.setodanote.net
005aa00f335f6b33795f3135.setodanote.net
005aa00f335f6b33795f3135.setodanote.net
005aa00f335f6b33795f3135.setodanote.net
005aa00f335f6b33795f3135.setodanote.net
005aa00e20666c61677b3768.setodanote.net
005aa00e20666c61677b3768.setodanote.net
005aa00e20666c61677b3768.setodanote.net
005aa00e20666c61677b3768.setodanote.net
005aa001666c61677b546869.setodanote.net
005aa001666c61677b546869.setodanote.net
005aa001666c61677b546869.setodanote.net
005aa001666c61677b546869.setodanote.net
005aa0105f35336375723137.setodanote.net
005aa0105f35336375723137.setodanote.net
005aa0105f35336375723137.setodanote.net
005aa0105f35336375723137.setodanote.net
005aa000666c616720697320.setodanote.net
005aa000666c616720697320.setodanote.net
005aa000666c616720697320.setodanote.net
005aa000666c616720697320.setodanote.net
005aa00520666c61677b4e69.setodanote.net
005aa00520666c61677b4e69.setodanote.net
005aa00520666c61677b4e69.setodanote.net
005aa00520666c61677b4e69.setodanote.net

AAAAレコードのリクエスト、AレコードとAAAAレコードの response が重複するので除く。

C2コマンドとなるヘッダーシグネチャ005aa0に絞り込む。
005aa0は、盗んだ情報をASCII文字のまま送信するコマンドと解釈できる。
なお、他にはファイルをbase64して送信するコマンドなどが考えられる。

DNSは順番が保障されないので、サブドメインに順番を含むデータがある。
サブドメインでソートする

$ cat Name.txt | grep 005aa0 | sort | uniq
005aa000666c616720697320.setodanote.net
005aa001666c61677b546869.setodanote.net
005aa002735f69735f44414d.setodanote.net
005aa0034d595f464c41477d.setodanote.net
005aa00420666c6167206973.setodanote.net
005aa00520666c61677b4e69.setodanote.net
005aa00663655f7472795f53.setodanote.net
005aa0076f7272795f666f72.setodanote.net
005aa0085f746861747d2066.setodanote.net
005aa0096c61672069732066.setodanote.net
005aa00a6c61677b444e535f.setodanote.net
005aa00b5333637572313779.setodanote.net
005aa00c5f5431303731217d.setodanote.net
005aa00d20666c6167206973.setodanote.net
005aa00e20666c61677b3768.setodanote.net
005aa00f335f6b33795f3135.setodanote.net
005aa0105f35336375723137.setodanote.net
005aa011797d323232323232.setodanote.net

サブドメインだけにして、さらにヘッダーシグネチャと順番を除去する

最後に16進数をASCII文字にする

これを1ラインで書くと

$ cat Name.txt | grep 005aa0 | sort | uniq | cut -b9-24 | tr -d "\n" | xxd -r -p
flag is flag{This_is_DAMMY_FLAG} flag is flag{Nice_try_Sorry_for_that} flag is flag{DNS_S3cur17y_T1071!} flag is flag{7h3_k3y_15_53cur17y}222222

flag{DNS_S3cur17y_T1071!}

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0