misc/EBE

I was trying to send a flag to my friend over UDP, one character at a time, but it got corrupted! I think someone else was messing around with me and sent extra bytes, though it seems like they actually abided by RFC 3514 for once. Can you get the flag?

 

내용을 정리해보면 이렇다, UDP로 한글자씩 데이터를 보냈는데 누가 다른 것까지 보냇다고 막 머라머라 주저리대는데 쉽게 말해서 많은 패킷들중 플래그값만 들어있는걸 걸러내야하는 문제다

 

EBE.pcap 파일을 주는데 pcap파일이란 패킷캡쳐란 뜻인데, 나는 주고받은 기록들을 캡쳐해놓은 파일이라고 이해했다

아님말고

 

맨위에 잇는걸 열어보니 문자 L이 전송된걸 볼수있다. 플래그값이 소문자 l로 시작하니 저건아닌거같다. 한 300개되는 전송기록들을 어떻게 구분해야할까 문제 설명에 힌트가있다. 나쁜놈이 보낸 데이터들은 RFC 3514를 준수했다(?)인지 뭔지가 써있는데 RFC 3514가 뭔지는 나도모른다 모르면 어떻게 해야하나 검색을 하면된다. 그리고 여러번의 검색끝에 답을

내는법을 알아냈다.

 

나쁜놈이 보낸 패킷

착한(?) 사람이 보낸 패킷

우선 나도 RFC 3514 저게 정확히 뭔지는 모른다. 알아낸건 패킷을 보낼때, 이게 착한 패킷이면 헤더속의 Flags속의 값이 0이고 나쁜 패킷이면 1로 설정되어 있다는 것이다. 내가 제대로 알아낸지는 모르겠으니 본인이 영어를 잘한다면 직접 검색하길 바란다

 

참고) https://wariua.cafe24.com/wiki/RFC3514

RFC3514 - AWiki

 

저걸 하나하나 열어서 찾기는 너무 오래걸리니 해당값이 0인 패킷들만 나오도록 필터링을 했다

 

근데 그렇게 했는데도 존나많음. 사실 어떻게하면 한번에 볼수도있을거같은데 방법을 모른다. 무식하면 몸이 고생한다

 

글자를 하나씩 모아보면 밑의 값이 나온다.

lactf{3V1L_817_3xf1l7R4710N_4_7H3_W1N_51D43c8000034d0c}

 

값이 너무 길어서 이게 맞는가했더니 맞았다. 눈빠지는줄 알았다