deayzl's blog

제공된 dump.pcap 의 모습이다. wireshark 로 열어주면, http 프로토콜의 패킷을 보게 되는데 url decode 해주면 Time based Sql Injection 을 하는 payload 를 볼 수 있다. http 프로토콜만 나오도록 해주고, timestamp 를 살펴봐서 3초 이상 차이나는 패킷을 확인하면 flag 문자열의 한글자 한글자씩의 아스키 코드를 알 수 있을 것이다. (619번, 623번 패킷의 Time 섹션을 보면 4.7초에서 7.7 초로 넘어간 것을 볼 수 있다) dump 파일을 모두 수작업으로 뒤질 수도 있지만, 그때 당시에 bomblab-hard 문제를 푸느라 바빠서 조금 하다가 포기했다. 그래서 pcap 파일을 직접 뒤져주는 파이썬 라이브러리 dpkt 을 이용해주었다..