본문 바로가기
#Network Forensic/LMG puzzle contest

Network Forensic puzzles contest #2

Y0u_4re_s0_5weet 2020. 5. 10. 00:13
반응형

[Puzzle #2 : Ann Skips Bail]

http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

 

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town. “We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the pol

forensicscontest.com

* 시나리오

경찰서장은 Ann이 떠나기 전에 비밀 애인 X씨와 대화를 나눈 것이라고 믿는다.

패킷캡처에는 그녀의 소재에 대한 단서가 포함될 수 있다.

당신은 법의학 수사관이다. Ann의 이메일, 어디로 갔는지, 그리고 다음을 포함한 증거를 찾아내는 것이 임무이다.

 

* 문제

1. Ann의 이메일 주소는 무엇입니까?

2. Ann의 이메일 비밀번호는 무엇입니까?

3. Ann의 비밀 애인의 이메일 주소는 무엇입니까?

4. Ann은 비밀 애인에게 어떤 두 가지 물건을 가져 오라고 했습니까?

5. Ann의 비밀 애인에게 보낸 첨부 파일의 이름은 무엇입니까?

6. Ann이 비밀 애인에게 전송한 MD5sum은 무엇입니까?

7. 어떤 도시와 국가가 그들의 집결지인지?

8. 문서에 포함 된 이미지의 MD5sum은 무엇입니까?

 

* 증거파일 : evidence02.pcap  

 

------------------------------------------------------------------------------------------------------------>>>

✔문제풀이  사용: Wiresharke, HxD

 

1. Ann의 이메일 주소는 무엇입니까?

[그림1. evidence02.pcap open]

  • 이번 문제에서는 Ann IP 주소를 알려주지 않았다. 하지만 문제에서 Ann 이메일이라는 힌트를 주어 SMTP프로토콜을 선택하여 Follow TCP stream 확인하였다.

 

[그림2. SMTP 프로토콜 Follow TCP Stream]

  • 250 요청된 메일이 정상적으로 완료되었음을 나타내는 코드이다.
  • 334 로그인 진행동안 발생하는 코드이다. 문제에서 이메일 주소를 물어봤으므로 Auth Login 부분을 확인해야 한다.

 

 

[그림3. Base64 디코딩]

  • 334의 문자열은 Base64 인코딩 문자이다. 디코딩을 해보니 id pw 나왔다.
  • 정답 : sneakyg33k@aol.com

 

 

2. Ann의 이메일 비밀번호는 무엇입니까?

  • [그림3] 디코딩 문자에서 있다.
  • 정답 : 558r00lz

 

 

3. Ann의 비밀 애인의 이메일 주소는 무엇입니까?

  • [그림2]에서 RCPT TO SMTP명령어 중 하나로 메일의 수신자를 지정하는 명령이다.
  • 두번째 그림을 보면 <Sec558@gmail.com>이라고 되어 있고, lunch next week라는 제목으로 메일을 보냈다.

 

[그림4. SMTP 프로토콜 Follow TCP Stream (2)]

  • 밑으로 내려보니 다른 SMTP 패킷 있다. <mistersecretx@aol.com>한테 rendezvous라는 제목으로 메일을 보냈다.
  • 시간상 뒤에 보냈고, 메일주소가 secret이라는 보아 비밀애인 X인 같다.
  • 정답 : mistersecretx@aol.com

 

 

4. Ann은 비밀 애인에게 어떤 두 가지 물건을 가져 오라고 했습니까?

 

[그림5. SMTP 프로토콜 Follow TCP Stream (3)]

  • Follow TCP stream 계속 확인해 보니 Bring your fake passport and bathing suit. 라고 적혀 있다.
  • 정답 : 가짜여권, 수영복 (fake passport and bathing suit)

 

5. Ann의 비밀 애인에게 보낸 첨부 파일의 이름은 무엇입니까?

  • Show and data save as raw 선택하고 mail.eml확장자로 저장했다.

 

[그림6. mail.eml open]

  • https://www.encryptomatic.com/viewer/에서 mail.eml파일을 열어보니 해당 화면이 나왔다.
  • 오른쪽 하단에 secretrendezvous.docx라는 파일이 첨부되어 있다
  • 정답 : secretrendezvous.docx

 

 

6. Ann이 비밀 애인에게 전송한 MD5sum은 무엇입니까?

[그림7. cmd open]

  • cmd에서 certutil -hashfile [파일명] MD5 명령어로 확인한다.
  • 정답 : 9e423e11db88f01bbff81172839e1923

 

 

7. 어떤 도시와 국가가 그들의 집결지인지?

[그림8. secretrendezvous.docx open]

  • 정답 : Playa del Carmen(멕시코 도시 이름)

 

 

8. 문서에 포함 된 이미지의 MD5sum은 무엇입니까?

[그림9. secretrendezvous.docx를 HxD로 open]

  • Docx 파일의 확장자가 정확이 뭔지 몰라서 HxD에서 파일을 열어보니 PNG확장자가 있었다.
  • PNG 헤더 시그니처부터 푸터까지만 02.png라고 저장했다.

 

 

[그림10. cmd open (2)]

  • 정답 : aadeace50997b1ba24b09ac2ef1940b7
반응형

'#Network Forensic > LMG puzzle contest' 카테고리의 다른 글

Network Forensic puzzles contest #4  (0) 2020.05.10
Network Forensic puzzles contest #3  (0) 2020.05.10
Network Forensic puzzles contest #1  (0) 2020.05.09

'#Network Forensic/LMG puzzle contest' Related Articles

티스토리툴바