[Hackthebox] - Marshal in the Middle Writeup(문제풀이)

제공된 압축파일 내용물을 보면 위와 같습니다. bro 폴더 내에는 각종 패킷 캡쳐 도구로부터 export 된 로그 파일들이 있고, bundle.pem은 RSA key file 이며, chalcap 이란 패킷캡쳐 파일, secrets.log 라는 TLS pre-matser secrets log 파일이 있습니다.

우선 export된 key file과 secrets.log를 import 해주면, 암호화되어 있던 TLS 패킷들이 복호화되어져 보이게 됩니다.

그런 다음 제일 처음으로 본 건 Protocol Hierarchy 였습니다.

확연하게 TLS 패킷과 HTTP 패킷이 주를 이루었습니다. 그래서 TLS를 포함한 HTTP 패킷을 우선 필터링 해서 보았습니다. 그리고 Length 기준으로 패킷의 길이가 제일 긴 순으로 조회해보았습니다.

위에서부터 봤을 때 오디오, 비디오, 이미지, javascript 파일 들을 모두 byte 단위로 export해서 내용물들을 확인해보았지만, 별다른 특이점은 찾지못했습니다.

바로 그 아래 Pastebin.com - #1 paste tool since 2002! 을 통해서 특정 내용을 private 하게 전송하는 api를 확인하였습니다.

HTTP Stream 을 통해서 내용물을 확인해보았고, 특정 문자열을 검색하여 플래그를 찾을 수 있었습니다.