Beskrivning

Vi har fångat lite trafik mellan två routrar som utbyter information med varandra. De verkar autentisera sig med någon form av nyckel, kan du lista ut vilken?

Flaggan är nyckeln i klartext omgiven av cratectf{}.

Lösning

Öppnar vi den bifogade pcap-file i Wireshark ser vi att det finns trafik med protokollet OSPF (Open Shortest Path First) mellan två routrar. OSPF är ett routingprotokoll som används för att hitta den bästa vägen för datatrafik inom ett nätverk.

6   0.330167     10.0.0.2 → 224.0.0.5    OSPF 94 Hello Packet
7   0.338377     10.0.0.1 → 224.0.0.5    OSPF 94 Hello Packet

Kollar vi på OSPF-paketen ser vi att de innehåller en autentiseringsdel:

Open Shortest Path First
    OSPF Header
        Version: 2
        Message Type: LS Update (4)
        Packet Length: 76
        Source OSPF Router: 10.0.0.2
        Area ID: 0.0.0.0 (Backbone)
        Checksum: 0x0000 (None)
        Auth Type: Cryptographic (2)
        Auth Crypt Key id: 1
        Auth Crypt Data Length: 16
        Auth Crypt Sequence Number: 1760018813
        Auth Crypt Data: 476911d6bd34493b9d393add08ba739b

Här ser vi att autentiseringstypen är “Cryptographic (2)” vilket innebär MD5-hashning och att de använder en delad nyckel med id 1.

För att hitta nyckeln kan vi använda oss av ett verktyg som heter dechap som kan användas för att återskapa MD5 autentisierad OSPF-trafik.

Kör vi dechap med pcap-filen som input får vi följande output:

Found password “andos1925” for OSPF host 10.0.0.2 key 1.
Found password “andos1925” for OSPF host 10.0.0.1 key 1.

Flagga: cratectf{andos1925}