<문제>
그들은 어느 도시에서 만날까요?
round2.pcap를 다운로드하고 와이어샤크로 이를 열어보았다.
두 호스트 간의 트래픽 양을 확인할 수 있는 방법인
Statistics> Conversations에 들어가서
Bytes 높은 순서대로 정렬하기 위해 Bytes를 한 번 클릭해주었다.
이 순서대로 TCP Stream을 살펴보면,
Bytes=914K, Bytes=906K에서는 특별한 점을 찾지 못하였다.
그러나, Bytes=865K에는 이가 암호화되어 있었다!
이를 더 자세히 알아보기 위해
파일 카빙과 정렬을 한 번에 할 수 있는 프로그램인
'Network Miner'를 사용하여 round2.pcap 파일을 열어보았다.
메뉴들 중에 Messages를 누르면 오고 간 메세지들을 확인할 수 있다.
첫번째 메세지에서는 password를 발견하였다.
password = S3cr3tVV34p0n
두번째 메세지에는 건질 만한 것이 없었다.
세번째 메세지에서는 'DCC SEND r3nd3zv0us 2887582002 1024 819200' 라고 쓰여있다.
위의 설명을 참고해보면,
DCC SEND r3nd3zv0us 2887582002 1024 819200
파일이름 ip port 파일크기
이를 숙지하고, 다시 와이어샤크로 돌아가 해당 부분 카빙을 진행하였다.
파일크기를 819K로 맞춰주고, Raw파일로 Save as를 해주었다.
이렇게 저장한 파일을
무료 오픈 소스 디스크 암호화 소프트웨어인 'TrueCrypt'로 열어주었다.
와이어샤크에서 카빙하고 저장했던 파일을 select하고
mount를 눌러주면,
password를 입력하라는 팝업이 뜬다.
Network Miner Messages에서 발견한 password=S3cr3tVV34p0n를 입력해주었다.
그러면, 사진과 text파일이 생겼다는 것을 알 수 있다!
사진에는 LAS VEGAS가 txt파일에는 '나중에 봐 Betty'라는 문구가 쓰여있다.
flag=LAS VEGAS
문제 해결!
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Multimedia #51-e_e 150 (0) | 2020.09.21 |
|---|---|
| Network #4-DefCoN#21 #4 (0) | 2020.09.05 |
| Network #5-DefCoN#21 #5 (0) | 2020.08.31 |
| Multimedia #13-basics 100 (0) | 2020.08.23 |
| Multimedia #11-계속 주시하라! 100 (0) | 2020.08.23 |
