pcap파일을 열어보면 다양한 프로토콜들이 있다.
그 중 FTP 프로토콜에서 sandofwhich.zip 파일과 ojd34.zip파일이 있다는 걸 알 수 있다.
Network Miner에서 두 파일을 검색하여 바로 추출해보았다.
확장자는 jpg이고 I라는 단어만 유일하게 jpg 헤더를 갖고 있다.
단어를 배열해서 헥스값을 합치면 될 것 같다.
힌트에서 주어진 Snowden’s-eloquent-quotes를 구글에 검색해보았다.
비슷한 단어를 가진 문장을 찾았다.
하지만 단어가 몇 개 빈다......
아무래도 zip파일이 더 있는 것 같다.
다시 wireshark로 와서 pk를 검색해보았다.
tcp.stream eq 42에서 client 부분에 또 다른 zip파일이 있었다.
raw로 변경한 후 HxD에서 확인해보았다.
PK의 푸터 50 4B 05 06 시그니처를 검색해보니 여러 개가 존재하는 걸로 보아 zip파일이 한 개가 아닌 것 같다.
50 4B 05 06 시그니처 끝부분을 2D 2D 시작하는 앞부분까지 잘라 저장하였다.
총 3개의 zip파일이 추출되었다.
--> 34jdsioj.zip, breaking_bad_season_6.zip, canc3l.zip
cat 명령어로 위의 영어문장 순서에 맞게 적으면 파일이 합쳐진다.
cat I.jpg cant.jpg in.jpg good.jpg conscience.jpg allow.jpg the.jpg U.S..jpg government.jpg to.jpg destroy.jpg privacy.jpg internet.jpg freedom.jpg and.jpg basic.jpg liberties.jpg for.jpg people.jpg around.jpg world.jpg with.jpg this.jpg massive.jpg surveillance.jpg machine.jpg theyre.jpg secretly.jpg building.jpg > round3.jpg
그 결과 체스판이 나왔다.
하지만 이 문장에 쓰지 않은 영어단어가 많이 남아있다.
이미지 속성에서 시간 순서를 보아 체스이미지를 맞추었던 단어들은 모두 오전 11:09:18이고, 두 번째는 오후 1:43:54, 세 번째는 오후 2:10:14이다.
breaking_bad_season_6 폴더에 들어있는 이미지는 세 번째가 맞고 나머지는 다 섞여있다.
그래도 각각 헤더 시그니처가 있어 문장을 조합해보았다.
condone American web-based rights constructing security terrorism NSA Watergate corrupt human behind closed doors.
cat condone.jpg American.jpg web-based.jpg rights.jpg constructing.jpg security.jpg terrorism.jpg NSA.jpg Watergate.jpg corrupt.jpg human.jpg behind.jpg closed.jpg doors.jpg > second.jpg
there their a it but communism nor because unconstitutional secretive secret.
cat there.jpg their.jpg a.jpg it.jpg but.jpg communism.jpg nor.jpg because.jpg unconstitutional.jpg secretive.jpg secret.jpg > third.jpg
로봇과 김정은 사진이 나왔다. 뇌물이라기엔 두 이미지는 딱히 문제에 도움이 되는 것 같진 않다.
아까 나온 체스 이미지를 구글에 검색해보니 chess set이라고 나왔다.
대소문자를 알맞게 적어야 플래그로 인정된다니..... 여러번 틀린 것 같다...;;
Flag : Chess Set
'#Digital Forensic with CTF > CTF-d_Network' 카테고리의 다른 글
CTF-d_Network DefCoN#22 #5 (0) | 2021.01.11 |
---|---|
CTF-d_Network DefCoN#22 #4 (0) | 2021.01.11 |
CTF-d_Network DefCoN#22 #2 (0) | 2021.01.09 |
CTF-d_Network DefCoN#22 #1 (0) | 2021.01.09 |
CTF-d_Network DefCoN#21 #8 (0) | 2021.01.09 |