<문제>
스노든이 발표 한 문서에 뇌물에 관한 정보가 있을 것이라 추정,
해당 파일에서 사용자 이름 목록의 2번째 이름을 찾아야 한다.
일단, 와이어샤크를 통해 해당 파일을 열어보았다.
해당파일을 살펴보면, 패킷이 엄청나게 많다는 것을 알 수 있다.
밑으로 계속 내리다 보면, SMB프로토콜을 사용한 흔적이 있다.
* SMB 프로토콜 = Server Message Block
네트워크 상 존재하는 노드들 간에 자원을 공유할 수 있도록 설계된 프로토콜
주로 네트워크에 연결된 컴퓨터끼리 파일, 프린터, 포트 또는 기타 메시지를 전달하는데 사용된다.
그래서 File>Export Objects>SMB을 클릭하여
SMB 프로토콜의 패킷을 추출하였다.
이들 중에서 어떤 파일에 사용자 이름 목록이 있을까 생각해보았다.
사용자 이름 목록 같은 경우, 문서파일에 작성하는 것 같아 Documents.zip파일을 저장해주었다.
해당 zip파일에서 문서파일을 찾아보면,
대략 12개의 문서파일이 있다.
각 파일에 있는 문서파일을 한 개씩 먼저 살펴보면,
마지막에 '='가 있는 것과 문제의 힌트를 참고해본 결과,
대부분 이 파일들은 base64로 인코딩되어 있다는 것을 알 수 있다.
그리하여 하나씩 base64 디코딩을 하여 사용자 이름 목록 파일을 찾아보기로 하였다.
(과정 생략)
base64 디코딩을 하나씩 해본 결과,
Enter the WuTang > track6.docx에서 사용자 목록을 찾을 수 있었다!
문제에서 사용자 이름 목록의 두번째 이름은 무엇인가를 물어봤으니,
정답은 Kim Ill-Song이다.
flag=Kim Ill-Song
문제 해결!
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Network #10-DefCoN#22 #2 (0) | 2020.10.05 |
|---|---|
| Network #8-DefCoN#21 #8 (0) | 2020.09.28 |
| Multimedia #7-Find Key(moon) (0) | 2020.09.21 |
| Multimedia #51-e_e 150 (0) | 2020.09.21 |
| Network #4-DefCoN#21 #4 (0) | 2020.09.05 |
