May 21

Solusi CTF IDSECCONF 2013 – Easy Network Packet Analysis

Solusi berikutnya dari soal yang mudah, berhubung yang bisa yang gampang-gampang :D. Di soal CTF yang ini, kita diberi sebuah file hasil capture dari network interface dan kita diminta untuk mencari key apa yang tersembunyi di dalamnya. File capture ini menggunakan format pcap-ng dan dapat dibuka dengan menggunakan Wireshark. Setelah dapat dibuka dengan Wireshark, maka langkah berikutnya adalah mencari apa kira-kira data yang tersimpan di situ.

Dari hasil pembacaan dengan Wireshark, dapat terlihat bahwa paket yang ditangkap berasal dari interface WiFi. Hal tersebut dapat diketahui dari banyaknya packet probe request, probe response, dan beacon frame serta semuanya menggunakan protokol 802.11. Dan setelah dilihat lebih jauh lagi, nampaknya hampir tidak ada data yang dipertukarkan. Contohnya dapat dilihat pada gambar di bawah ini.

Dari semua paket tersebut, yang mencuri perhatian adalah adanya packet EAPOL yang digunakan untuk 4-way handshaking pada WPA, seperti terlihat pada gambar di bawah ini. Berarti kemungkinan besar key yang diminta adalah WPA-PSK Shared Key. Tetapi di awal-awal, hanya 2 dari 4 langkah saja yang ada, padahal untuk bisa crack WPA key membutuhkan 4 way handshake.

Kemudian tinggal kita cari saja ada atau tidak 4-way handshake dari WPA dengan memasukkan filter “EAPOL”. Akhirnya ada satu 4-way handshake yang berhasil di bagian akhir, seperti terlihat pada gambar di bawah ini.

Langkah selanjutnya adalah menggunakan aircrack-ng untuk mendapatkan WPA Key. Namun sebelum itu, kita harus punya wordlist/dictionary file yang dapat diunduh dari website ini dan file dengan format pcap-ng harus dikonversi dulu ke format pcap dengan menggunakan Save As di Wireshark.  Berikutnya, perintah aircrack-ng yang dapat digunakan adalah sebagai berikut, dimana john.txt adalah contoh wordlist file yang digunakan :

aircrack-ng -w john.txt networkeasy.pcap

Kemudian pilih SSID yang virtue00, karena pada SSID itulah yang ada WPA Key Handshakenya. Contohnya dapat dilihat pada gambar di bawah ini :

Namun sayangnya, key yang digunakan ternyata tidak ada di wordlist john the ripper, rockyou dan cain and abel. Jadi nampaknya key-nya adalah bahasa indonesia atau tidak ada di kamus. Keynya pastilah kata yang dikenal oleh peserta dan panitia serta dapat ditebak dengan mudah. Dan kata yang pertama kali terlintas di pikiran adalah “idsecconf2013” . :D

Be Sociable, Share!

5
comments

5 comments!!!

  1. KM says:

    Akhirnya jurus pamungkasnya keluar… tebak-tebak berhadiah 😛

    [Reply]

    bazz Reply:

    lah berbagai wordlist sudah dicoba,ternyata gagal. :D

    [Reply]

  2. Ardi says:

    Wew,, ternyata simple toh, ane pikir ini sangat ribet ampe pake word generatornya si john..
    😯 😯

    [Reply]

    bazz Reply:

    @Ardi, Berhubung 3 wordlist (john, rockyou, cain) gagal semua, waktu itu yg kepikiran ya sebuah kata yang panitia dan peserta sama-sama tahu. :D

    [Reply]

    Ardi Reply:

    @bazz, hmm, gw mikirnya terlalu jauh. Bayangin aja, setelah 5 jam gw generate kata masih gak ketemu, dan kalo pun gw coba terus, ampe komputer gw mampus gak bakal dapet keynya, karena gw ngasih opsi buat generatornya itu 8 karakter. :cd

    But i got the point here.., thanks gan.

    [Reply]

Reply

[+] kaskus emoticons nartzco