<문제>
round7.pacp 파일을 가지고 허위 웹페이지를 찾는 문제이다.
round.pcap를 NetworkMiner를 사용하여 열어보았다.
- NetworkMiner 다운로드 사이트
https://www.netresec.com/index.ashx?page=NetworkMiner
NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏
Network Miner is a network forensics tool for analyzing network traffic
www.netresec.com
문제가 허위 웹사이트를 찾는 것이니까
Files 부분에서 URL을 찾아본 결과,
왠지 실제로 있을법한 사이트를 발견하였다.
그리고 실제로 해당 사이트가 있었다!
Bank of America - Banking, Credit Cards, Loans and Merrill Investing
What would you like the power to do? For you and your family, your business and your community. At Bank of America, our purpose is to help make financial lives better through the power of every connection.
www.bankofamerica.com
아마 해당 사이트와 비슷하거나 관련된 허위 URL이 있을 것 같아
NetworkMiner로 더 찾아보기로 하였다.
- NetworkMiner를 사용하는 방법
https://blog.naver.com/stop2y/221033954685
NetworkMiner 개요 / 사용법
NetworkMiner? * Windows 용 Network Forensic Analysis Tool (NFAT) * Linux / Mac OS X ...
blog.naver.com
위의 블로그를 참고하여,
[Parameters]부분에서 HTTP의 GET 또는 POST에 삽입된 파라미터에 대해 다룬다는 것을 보고
[Parameters]부분에 들어가 URL을 찾아보았다.
bankofamerica.tt.omtrdc.net에 접속한 흔적이 있어
더 자세히 보기 위해 이를 Wireshark로 확인해보았다.
도메인으로 검색하기 위해
http.host==bankofamerica.tt.omtrdc.net 로 검색하고
이를 TCP STREAM으로 열어보았다.
구글에 접속한 흔적이 보였다.
구글에서 무엇을 하였는지 알아내기 위해
구글 URL 뒤의 영어들을 읽어보면,
why is my bankofamerica account not working
이라고 써져있는 것을 발견할 수 있다.
이를 보고 추측해보면,
구글에다가 자신의 계좌가 작동하지 않는 이유를 질문한 것 같았다.
그러므로, 허위 사이트는
bankofamerica.tt.omtrdc.net
bankofamerica.tt.omtrdc.net를 치니까 틀렸다고 떠서
http를 붙여서 치니까 정답이라고 떴다!
FLAG=http://bankofamerica.tt.omtrdc.net
문제 해결!
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Multimedia #64-스타워즈 시간이 돌아왔다! 200 (0) | 2020.08.04 |
|---|---|
| NetWork #3-DefCoN#21 #3 (0) | 2020.08.01 |
| Network #6-DefCoN#21 #6 (0) | 2020.07.25 |
| Network #1-DefCoN#21 #1 (0) | 2020.07.20 |
| Multimedia #49-저는 이미지에서 어떤 것을... 150 (0) | 2020.07.18 |
