<문제>
'Jack이 당신에게 캡쳐 정보를 보여준다.', '회의가 예정된 요일은?'을 보았을 때
해당 파일이 캡쳐 정보이고, 그 정보로 인해 요일을 알아내야 하는 것 같다.
해당 파일은 pcap확장자를 가지고 있다.
이 파일의 속성에 들어가 확인해보니,
pacp확장자는 Wireshark capture file을 의미한다는 것을 알 수 있다.
* .pacp(packet capture) : 컴퓨터 네트워크 관리 분야에서 네트워크 트래픽 포착용 API 구성
해당 파일을 열어보면,
'데이터통신 및 네트워크' 수업에서 배웠던 익숙한 장면이 나온다.
위의 사진을 보면, UDP, TCP, ARP 등 익숙한 용어들이 나오는데
처음보는 용어 IRC이 있어 이를 찾아보았다.
* UDP(User Datagram Protocol) : 인터넷에서 정보를 주고받을 때, 한쪽에서 일방적으로 보내는 방식의 통신 프로토콜
* TCP(Transmission Control Protocol) : 인터넷에서 정보를 주고받을 때, 서로 데이터를 주고받는 형식의 통신 프로토콜
* ARP(Address Resolution Protocol) : 목적지 IP주소를 단서로 패킷을 받아야 할 기기의 MAC주소를 알고 싶을 때 사용
* IRC(Internet Relay Chat) : 인터넷을 사용하여 전세계 사람들과 대화할 수 있도록 만들어진 채팅 프로그램
채팅 프로그램을 이용해서 회의 요일을 주고받았나 싶어
IRC>Follow>TCP Stream을 하여 이를 더 자세히 보았다.
* ____ Stream : 쉽게 읽을 수 있는 형태로 재조립하여 가시성이 좋게 보여주는 기능
'Hi Betty', 'what day do you want to meet up?'이라는 채팅으로 보아
우리가 원하는 답을 찾을 수 있을 것 같다는 생각이 들었다.
나머지 채팅 내용은 &#으로 암호화되어있는 것 같았다.
그래서 찾아보니,
HTML과 연관되어 있다는 것을 알 수 있었다.
그러므로 HTML 디코더를 이용해서 채팅을 자세히 보기로 하였다.
- 온라인 HTML 디코더
https://www.convertstring.com/ko/EncodeDecode/HtmlDecode
HTML을 디코드 - 온라인 html로 디코더
www.convertstring.com
&#로 되어있던 것들이 영문으로 바뀐 것을 볼 수 있다.
"How does Wednesday sound?" "Great:)" 이라고 하는 것을 보니
회의 요일은 'Wednesday' 인 것 같다.
flag=Wednesday
문제 해결!
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Network #7-DefCoN#21 #7 (0) | 2020.07.26 |
|---|---|
| Network #6-DefCoN#21 #6 (0) | 2020.07.25 |
| Multimedia #49-저는 이미지에서 어떤 것을... 150 (0) | 2020.07.18 |
| Multimedia #39-그림을 보아라 150 (0) | 2020.07.18 |
| Multimedia #31-Find Key(Hash) 120 (0) | 2020.07.13 |
