본문 바로가기
#Digital Forensic with CTF/CTF-d_Network

CTF-d_Network DefCoN#22 #3

Y0u_4re_s0_5weet 2021. 1. 10. 18:33
반응형

http://ctf-d.com/

 

[DigitalForensic] with CTF

 

ctf-d.com

 

문제

 

FTP packet

pcap파일을 열어보면 다양한 프로토콜들이 있다. 

그 중 FTP 프로토콜에서 sandofwhich.zip 파일과 ojd34.zip파일이 있다는 걸 알 수 있다.

Network Miner에서 두 파일을 검색하여 바로 추출해보았다.

 

 

Network Miner

 

sandofwhich.zip & ojd34.zip

확장자는 jpg이고 I라는 단어만 유일하게 jpg 헤더를 갖고 있다.

단어를 배열해서 헥스값을 합치면 될 것 같다.

힌트에서 주어진 Snowden’s-eloquent-quotes를 구글에 검색해보았다.

 

 

Snowden’s-eloquent-quotes

비슷한 단어를 가진 문장을 찾았다.

하지만 단어가 몇 개 빈다......

아무래도 zip파일이 더 있는 것 같다.

다시 wireshark로 와서 pk를 검색해보았다.

 

TCP Stream eq 42

tcp.stream eq 42에서 client 부분에 또 다른 zip파일이 있었다.

raw로 변경한 후 HxD에서 확인해보았다.

PK의 푸터 50 4B 05 06 시그니처를 검색해보니 여러 개가 존재하는 걸로 보아 zip파일이 한 개가 아닌 것 같다.

50 4B 05 06 시그니처 끝부분을 2D 2D 시작하는 앞부분까지 잘라 저장하였다.

3개의 zip파일이 추출되었다.

--> 34jdsioj.zip, breaking_bad_season_6.zip, canc3l.zip

 

cat

cat 명령어로 위의 영어문장 순서에 맞게 적으면 파일이 합쳐진다.

cat I.jpg cant.jpg in.jpg good.jpg conscience.jpg allow.jpg the.jpg U.S..jpg government.jpg to.jpg destroy.jpg privacy.jpg internet.jpg freedom.jpg and.jpg basic.jpg liberties.jpg for.jpg people.jpg around.jpg world.jpg with.jpg this.jpg massive.jpg surveillance.jpg machine.jpg theyre.jpg secretly.jpg building.jpg > round3.jpg

그 결과 체스판이 나왔다.

하지만 이 문장에 쓰지 않은 영어단어가 많이 남아있다.

 

이미지 속성에서 시간 순서를 보아 체스이미지를 맞추었던 단어들은 모두 오전 11:09:18이고, 두 번째는 오후 1:43:54, 세 번째는 오후 2:10:14이다.

breaking_bad_season_6 폴더에 들어있는 이미지는 세 번째가 맞고 나머지는 다 섞여있다.

그래도 각각 헤더 시그니처가 있어 문장을 조합해보았다.

 

second third

 

condone American web-based rights constructing security terrorism NSA Watergate corrupt human behind closed doors.

cat condone.jpg American.jpg web-based.jpg rights.jpg constructing.jpg security.jpg terrorism.jpg NSA.jpg Watergate.jpg corrupt.jpg human.jpg behind.jpg closed.jpg doors.jpg > second.jpg

 

there their a it but communism nor because unconstitutional secretive secret.

cat there.jpg their.jpg a.jpg it.jpg but.jpg communism.jpg nor.jpg because.jpg unconstitutional.jpg secretive.jpg secret.jpg > third.jpg

 

 

로봇과 김정은 사진이 나왔다. 뇌물이라기엔 두 이미지는 딱히 문제에 도움이 되는 것 같진 않다.

아까 나온 체스 이미지를 구글에 검색해보니 chess set이라고 나왔다.

대소문자를 알맞게 적어야 플래그로 인정된다니..... 여러번 틀린 것 같다...;;

Flag : Chess Set

 

반응형

'#Digital Forensic with CTF > CTF-d_Network' 카테고리의 다른 글

CTF-d_Network DefCoN#22 #5  (0) 2021.01.11
CTF-d_Network DefCoN#22 #4  (0) 2021.01.11
CTF-d_Network DefCoN#22 #2  (0) 2021.01.09
CTF-d_Network DefCoN#22 #1  (0) 2021.01.09
CTF-d_Network DefCoN#21 #8  (0) 2021.01.09

'#Digital Forensic with CTF/CTF-d_Network' Related Articles

티스토리툴바