[Christmas CTF_2016] NMS(misc)

## Christmas CTF_2016(NMS,misc,100pts)

[Summary]

1. 패킷 파일이 주어진다.

2. NMS 쿼리(snmp)의 취약한 설정이 되어 있는 서버를 찾아야 함. 

3. 패킷을 와이어샤크로 보면 IP대역이 딱 봐도 수상해 보이는 곳이 있음.(52.~~)

4. 패킷은 네트워크 관리자 PC내부에서 캡쳐되었기 때문에 snmp community string(password)가 평문으로 노출

5. snmp-check라는 툴 사용

[Analysis] 

 우선 문제를 보면 아래 [그림 1]과 같다.

[그림 1] 문제

문제는 네트워크 담당자 PC에 침투한 이후 해커가 내부에서 패킷을 캡처한 상황으로 가정하였고, 취약한 설정을 가진

서버를 찾았다고 한다. 그리고 해당 패킷 파일을 던져주는데 간단히 와이어샤크의 [Statistics] - [Conversation] 기능을 이용하여 TCP,

UDP세션을 살펴보던 중 UDP세션에서 다음 [그림 2]와 같은 161번 포트를 이용하는 snmp 쿼리를 확인할 수 있었다. 특별한 점은

다른 IP대역은 get request패킷만 보이는데 "52.39~ "의 IP대역은 get response패킷까지 보이면서 snmp 쿼리가

정상 동작하는 것을 확인할 수 있었다.(cf. 패킷을 잘 살펴보면 scanning을 한 것처럼 보임)(그림 3 참조)

[그림 2] UDP 세션들

[그림 3] SNMP 쿼리 (community string_평문 전송)

패킷을 잘 보면 snmpv2c를 사용하는 것을 알 수 있고 이 버젼은 보안기능이 들어있지 않아 패킷이 평문으로 전송되면서 패스워드를 평문으로

전송하는데 위에서 얻을 수 있는 community string은 "public"과 "idcmonitoradmin"이었고 이렇게 탈취한 해당 community string을

이용하여 snmp-check라는 툴을 돌린 결과 아래 [그림 4, 5]와 같이 flag가 뜨는 것을 확인 할 수 있었다.


[Get Flag~~!!!!] 

[그림 4] snmp-check 커맨드

[그림 5] snmp-check 결과 - flag획득

끝~!