Meet the Upgraded Router (100 pts) - Network Security Write-up#

โจทย์#

ดูเหมือนว่าแฮกเกอร์จะอัปเกรด C2 (Command & Control) ที่ใช้ขโมยข้อมูลเป็นเวอร์ชันใหม่แล้ว

ไม่แน่ว่า… payload ที่ส่งออกมาอาจจะไม่ได้มาแบบธรรมดา ๆ เหมือนรอบที่แล้ว… XOR สักหน่อยดีไหม?

File: thctt2025_open_netsec2_upgraded-router.pcapng

ดาวน์โหลดไฟล์#

ข้อสังเกต#

• Traffic ที่น่าสงสัย คือ ICMPv6 Echo Request (type 128)
• พบว่ามีการใช้ Echo Identifier = 0x1337 (มี payload 1 byte) และ 0xBEEF (มี payload 12 byte)
• เมื่อสำรวจพบว่า 0xBEEF เป็น payload ที่สับไว้จนอ่านไม่ออก
• Payload ที่ส่งออกมามีลักษณะแปลก
• ทดลอง XOR 0-255

แนวคิดการแก้โจทย์#

1. ใช้ tshark ดึง Packet เฉพาะ ICMPv6 Echo Request ที่ identifier == 0x1337
2. ดึง field data.data ออกมาเป็น hex และต่อให้เป็น String เดียว
3. แปลง hex เป็น bytes
4. Brute-force key 0–255 โดย XOR ทุก Byte
5. เช็ค regex flag{32-hex}
6. เจอ flag

อธิบาย Script#

1
import subprocess, re, sys
2

3
PCAP = "thctt2025_open_netsec2_upgraded-router.pcapng"
4
FILT = "icmpv6.type == 128 && icmpv6.echo.identifier == 0x1337"
5

6
out = subprocess.check_output(
7
    ["tshark", "-r", PCAP, "-Y", FILT, "-T", "fields", "-e", "data.data"]
8
).decode("utf-8", "ignore")
9

10
hx = out.replace(":", "").replace("\n", "").strip()
11
if not hx:
12
    print("PAYLOAD NOT FOUND PLEASE CHECK FILTER")
13
    sys.exit(1)
14
raw = bytes.fromhex(hx)
15

16
pat = re.compile(r"flag\{[0-9a-f]{32}\}")
17
for k in range(256):
18
    txt = bytes(b ^ k for b in raw).decode("utf-8", "ignore")
19
    m = pat.search(txt)
20
    if m:
21
        print("KEY = 0x%02x" % k)
22
        print(m.group(0))
23
        sys.exit(0)
24

25
print("FLAG NOT FOUND")
26
print(bytes(b ^ 0x37 for b in raw).decode("utf-8", "ignore"))

การทำงาน:

• ใช้ tshark คัดแค่ Packet ที่เราจะใช้
• รวม payload ให้เป็นชุดเดียว
• Brute-force key 0–255 แล้วตรวจด้วย regex flag{...}
• Print flag หากพบ

ผลลัพธ์#

เมื่อรัน Python Script จะได้ Flag ดังนี้:

1
KEY = 0x37
2
flag{e1fa89bb89b67848d0a9ae0135fad032}

Credits#

Writeup by netw0rk7 | Original Repo