<문제>
Betty의 동료라고 하는 한 단체가
Gregory에게 제공한 비밀번호를 알아내는 문제이다.
해당 파일 round4.pcap를 Network miner로 열어보았다.
단체가 Gregory에게 요구 사항 목록을
메세지로 주었을 가능성이 있어 메세지를 확인해보았다.
Network Miner에서 Messages부분을 누르면,
오고 간 메세지들을 확인할 수 있다.
단체가 Gregory에게 전송한 메세지를 확인할 수 있었다.
"You know the location and password for the drop."
그 뒤에는 또 다른 스크립트가 있는데,
스크립트로 봐서는 kml파일이 관련있는 것으로 보였다.
단체가 지도 파일을 건내주어 장소와 비밀번호를 준 듯 하다.
메세지 뒤의 스크립트를 메모장에 옮겨
\은 없애주고 확장자를kml로 바꾸고 저장해주었다.
그리고 저장한 kml 파일을 KML Viewer로 열어보았다.
KML Viewer
Please enable JavaScript to view this site.
ivanrublev.me
Brut? 정답란에 적어보니 아니었다.
그래서 다른 블로그들을 찾아보니 정답이 Brutus라고 한다.
뒤쪽이 짤려있어 뭔가 디코딩이 덜 되었나 하고
다시 Network Miner의 Messages를 확인해보았다.
메세지의 맨 밑부분을 확인해보니,
다른 것들은 '숫자-'로 끝나는데 맨 마지막에는 '숫자,'로 끝나있었다.
그래서 문제를 해결하기 위해 해당 파일을 와이어샤크로 열어보았다.
requests를 찾아보니 대부분 이렇게 빨간색이다가 파란색으로 보이는데,
이 부분만 requests쪽이 다 빨간색이었다.
이 부분의 디코딩이 덜 되었나 라는 생각이 들었다.
그래서 이 빨간색 부분을 복사하여 메일내용 URL을 디코딩해주었다.
https://heavenly-appear.tistory.com/176
[URL 인코더, 디코더] url인코딩, url디코딩 - 바로 변환해드려요!
Encoding Decoding 복사버튼은 현재 크롬에서만 지원가능합니다. 안녕하세요. 개인적으로 url인코딩 및 url디코딩을 자주 변환해서 자바스크립트로 기반으로 URL인코더 및 URL디코더를 만들었습니다. (�
heavenly-appear.tistory.com
디코딩 완료된 것을 다시 메모장에 복사하여
아까 디코딩이 덜 된 듯한 "115.1751092846092,36.11701233113042,"
이 부분을 찾아보았다.
그리고 그 뒷부분에 더 많은 숫자들이 나와 이를 복사하고
아까 저장했던 메모장에 추가해주었다.
이렇게 한 뒤 KML Viewer로 다시 열어보면,
정답이 나온다!
key=Brutus
정답!
(조금 어려운 문제였다...)
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Multimedia #7-Find Key(moon) (0) | 2020.09.21 |
|---|---|
| Multimedia #51-e_e 150 (0) | 2020.09.21 |
| Network #2-DefCoN#21 #2 (0) | 2020.08.31 |
| Network #5-DefCoN#21 #5 (0) | 2020.08.31 |
| Multimedia #13-basics 100 (0) | 2020.08.23 |
