Digital Forensic - Network

2021. 8. 4. 17:51Layer7/Layer7_Network

 

CTFD - DefCoN#22 #1




 

SMB 프로토콜로 보내진 파일들을 저장했다.


압축을 풀었다.

 



%5cdocuments/Documents/Enter the WuTang 경로 내에서 track6.docx 파일을 열어봤다.



 


아래와 같이 내용이 base64로 인코딩된 것을 볼 수 있다.

 



base64를 디코딩하여 문제에 대한 해답을 찾을 수 있었다.







 

CTFD - DefCoN#22 #2



IRC 프로토콜로 보내진 패킷들을 TCP Stream으로 봤다.

IRC 프로토콜이란, 채팅 프로그램들이 사용하는 메시지 전송 관련 프로토콜이다.

이를 분석함으로써 두 상대의 대화내용을 볼 수 있게 된다.



 

내용을 보니 base64로 암호화되어서 대화 내용을 base64로 복호화했다.

디코딩한 후 base32로 다시 디코딩을 해서 원래 래 대화 내용을 볼 수 있었다.

 

더보기

Mr. Razor, I am excited about the prospect of the Chess Boxing world title coming to Pyongyang.

Pyongyang is beautiful this time of year. Perhaps you would like to visit and experience what Best Korea has to offer.

Perhaps not. How about I send you a gift? Something to get you out of the City of Love and take your own vacation somewhere.

I will be in touch with the address.

As we discussed earlier, I believe I might be able to help you with your search.

I can be in c9fa5b8cb3b197ae5ce4baf8415a375b within the week.

I am afraid that would be unwise. I will send you a message with the date and location through a more secure form of communication.

Mr. Method, I am excited about the prospect of the Chess Boxing world title coming to Pyongyang.

How is the weather in Qatar, Mr. Killah?

.....



c9fa5b8cb3b197ae5ce4baf8415a375b는 MD5 암호화 알고리즘으로 암호화된 것으로 추정되어 MD5 레인보우 테이블을 이용하여 복호화를 했다.



 

따라서 문제에 대한 해답인 'Caracas'를 얻었다.





 

CTFD - DefCoN#22 #3



 

파일을 열어보니 FTP 프로토콜로 전송된 패킷들이 많은 것을 볼 수 있다.

위의 사진을 보면 sandofwhich.zip와 ojd34.zip이 전송된 것을 볼 수 있다.

TCP Stream으로 스트림을 확인한 뒤, Show data as를 Raw로 바꾸어서 .zip 확장자로 저장을 했다.

 

 

FTP 이외에도 TCP Stream에서 .zip 파일이 보내진 것을 볼 수 있다.


.zip 파일의 시그니처를 검색하면 총 세 개의 압축 파일이 더 있는 것을 알 수 있다.

 



Hex Dump를 파일로 바꿔주는 프로그램을 사용하여 Hex를 .zip 파일 형태로 저장할 수 있다.

 

압축을 풀어보니, 세 압축 파일 모두 .jpg 확장자를 가진 이미지들을 갖고 있다.


I라는 이름을 가진 이미지 외에 모든 이미지들은 깨져 있다. (아마도 jpg 헤더는 I.jpg 밖에 없어서 그랬을 것이다)







I에서만 헤더가 있는 것에서 아이디어를 얻어 이미지의 이름들로 무언가 문장이 만들어질 것 같아 문제를 다시 한번 읽어봤다.

 

Snowden’s-eloquent-quotes.jpg라고 힌트가 주어졌다.


검색을 해서 여러 가지 인용구들을 찾게 되었는데, 주어진 단어들이 가장 비슷한 것을 찾아봤더니 다음 사진과 같다:




즉, 파일들의 내용을 위 사진의 인용에서 나타난 순서대로 하나의 이미지로 병합시키면 어떠한 이미지가 나올 수 있을 것 같았다.

 



위와 같이 여러 개의 파일 조각들을 하나의 파일로 만들면 원래 사진이 나오는 것을 알 수 있다.


따라서 이 문제에 대한 해답인 Chess Set을 얻을 수 있다.

 

 

CTFD - DefCoN#22 #4



주어진 파일을 Wireshark에서 열어봤다.

밑으로 내려가 보면 STUN 프로토콜 패킷이 많은 것을 볼 수 있다.

 

오른쪽 클릭을 해서 Follow UDP Stream을 하면 전체 UDP 스트림을 볼 수 있다.

힌트로 @는 장치 이름과 함께 사용되는 공통 기호라는 것을 알려주는데, 이때 @를 검색해 봤다.

 

쭉 내리다 보니 어느 순간 IP 주소와 함께 호스트 이름이 표시되는 것을 볼 수 있다.


따라서 호스트 이름이자 문제의 해답인 drpoppins-735를 찾을 수 있었다.



 

 

메인 사진 출처: Unsplash

© 남찬우, 2021

 

 

'Layer7 > Layer7_Network' 카테고리의 다른 글

NAT  (0) 2021.07.13
TCP/IP 소켓 프로그래밍 (with C언어)  (0) 2021.06.11

관련글

댓글 0

티스토리툴바