CyberCamp 2018 Online –5. Cosas del wifi (Otros)

En este post realizaremos el siguiente reto de la CyberCamp 2018, que es el reto 5. Este reto que esta categorizado como “otros” es de nivel medio.
Aquí teneis un enlace para poder descargaros los retos y probarlo vosotros mismos: RetosCyberCamp2018.zip

Enunciado

Se ha realizado la monitorización de tráfico wireless de una de las redes de tu organización. Se tiene la sospecha de que uno de los usuarios se está logueando contra una web que está realizando phishing y suplantando la legítima. Tu objetivo es recuperar las credenciales, la FLAG será la contraseña que utiliza el usuario para loguear.
Fichero: medium_5.cap

Solución

El archivo obtenido para este reto es un archivo cap, que contiene la captura del trafico de una red para analizar este archivo usaremos Wireshark.
Una vez tenemos abierto el fichero cap podemos ver los paquetes capturados.

Estos paquetes se encuentran cifrados por la red wifi por lo que primero deberemos crackear el fichero cap para obtener la clave y asi poder conseguir los paquetes en texto plano.

Despues de una pequeña espera, obtenemos la contraseña que se encontraba en el rockyou

Con esta clave podemos descifrar los paquetes añadiendo la siguiente configuración a Wireshark:

Una vez tenemos los paquetes desencriptados podemos buscar la información del enunciado, lo que necesitamos es una contraseña por lo que tendremos que orientar la busqueda a ese objetivo.
Para ello exportaremos los paquetes a texto plano.

Con el archivo ya exportado filtraremos con grep por palabras claves como en este caso “pass” y añadiremos a la salida del comando las 3 lineas anteriores y superiores
al realizar esta busqueda llegamos a la información deseada en este paquete donde podemos ver dentro del data un post con las credenciales en texto plano.

Login_Name: john
Login_Password:qwertyFpass1234

Por lo tanto el flag es: qwertyFpass1234

Referencias: https://wiki.wireshark.org/HowToDecrypt802.11