<문제>
Gregory가 Betty를 만나지 않는다면 어떻게 죽게 되는지 알아보자.
round3.pcap를 먼저 다운로드하고 이를 wireshark로 열어보았다.
HTTP로 주고 받은 파일을 찾아보기 위해 File>Export Objects>HTTP를 열었다.
Content Type을 살펴보았는데, javascript, html, css 등등 자주 보았던 단어들이 있었다.
문제에서 Gregory가 전화를 받고 사실을 알게 되었다고 했으니.
위의 단어들은 전화와 관련이 없는 것 같고 그나마 mms-message가 관련이 있는 것 같아
자세히 살펴보기로 하였다.
mms-message의 packet이 390이여서 확인해보니 Protocol이 MP4인 것을 알 수 있었다.
또한, 이의 Follow TCP Stream을 열어보니,
mp4라는 단어가 꽤 나온다.
'mp4에 Flag가 숨겨져 있을까?' 라는 의문을 품고
해당 파일을 RAW데이터로 저장한 후 hxd로 열어보기로 하였다.
해당 파일에서 mp4파일을 찾기 위해
아래의 블로그를 참고하여 mp4의 파일 시그니처를 찾아보았다.
http://forensic-proof.com/archives/300
파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF
forensic-proof.com
mp4의 파일 시그니처가 00 00 00 18 66 74 79 70 이므로
이를 hxd에서 찾아보았다.
mp4의 파일 시그니처를 찾아 그 앞의 내용을 삭제하였다.
삭제한 후 해당 파일을 다시 저장하고
확장자를 .mp4로 바꾼 뒤 이를 열어보았다.
영상이 나오는데 끝부분에
'You have died of DYSENTERY' 라고 나온다.
사전에 찾아보면 '이질'이라고 나온다!
FLAG=DYSENTERY
문제 해결!
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Multimedia #8-Three Thieves Threw Trumpets Through Trees 100 (0) | 2020.08.10 |
|---|---|
| Multimedia #64-스타워즈 시간이 돌아왔다! 200 (0) | 2020.08.04 |
| Network #7-DefCoN#21 #7 (0) | 2020.07.26 |
| Network #6-DefCoN#21 #6 (0) | 2020.07.25 |
| Network #1-DefCoN#21 #1 (0) | 2020.07.20 |
