본문 바로가기

반응형

#Digital Forensic with CTF

(78)
CTF-d_Network DefCoN#22 #5 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 문제에서 메시지를 가로챘다고 하니 http 프로토콜에서 메시지를 찾아보았다. 메시지는 http.request.method == "POST" 필터에서 message가 적힌 패킷에 있었다. 찾은 메시지는 보낸 사람이 Ann이었다. #1 Who is this? #2 Where are you? #3 Do you know that there are people investigating Kim Ill-Song? #4 still we should be careful. Pay attention. I want to meet in September at 5PM. #5 yes. #6 I told you to pay attent..
CTF-d_Network DefCoN#22 #4 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 주어진 패킷을 보면 SIP와 STUN 패킷이 많이 보인다. STUN은 실시간 음성, 비디오, 메시징 애플리케이션, 그리고 기타 상호작용 통신 부문에서 네트워크 주소 변환(NAT) 게이트웨이의 트레버설을 위한, 네트워크 프로토콜을 포함하는 메소드들의 표준화된 모임이다. ko.wikipedia.org/wiki/STUN 메뉴-> Telephony->SIP Statistics에 들어가보면 데이터 통계자료를 볼 수 있다. STUN 프로토콜 패킷을 Follow UDP Stream으로 보면 알 수 없는 문자열들 중에 user@ 말고 또 다른 계정이 보인다. Flag : drpoppins-735
CTF-d_Network DefCoN#22 #3 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com pcap파일을 열어보면 다양한 프로토콜들이 있다. 그 중 FTP 프로토콜에서 sandofwhich.zip 파일과 ojd34.zip파일이 있다는 걸 알 수 있다. Network Miner에서 두 파일을 검색하여 바로 추출해보았다. 확장자는 jpg이고 I라는 단어만 유일하게 jpg 헤더를 갖고 있다. 단어를 배열해서 헥스값을 합치면 될 것 같다. 힌트에서 주어진 Snowden’s-eloquent-quotes를 구글에 검색해보았다. 비슷한 단어를 가진 문장을 찾았다. 하지만 단어가 몇 개 빈다...... 아무래도 zip파일이 더 있는 것 같다. 다시 wireshark로 와서 pk를 검색해보았다. tcp.strea..
CTF-d_Network DefCoN#22 #2 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 문제에서 의사소통하고 있다고 하니 NetworkMiner에서 메시지를 확인해보았다. 메시지는 모두 base64인코딩 되어 있어 복호화를 해보았다. base64로 디코딩하면 또다른 알 수 없는 문자열이 나온다. 계속 디코딩해도 안되서 base32로 디코딩을 해보았다. 이런식으로 다른 메시지들로 하나씩 해보면 내용을 알 수 있다. 중간에 Base로 디코딩이 되지 않은 메시지도 있지만 플래그를 찾는 데는 필요하지 않았다. 중간쯤 Genius1이 III-Song에게 보내는 메시지에서 위와 같은 문자열을 찾을 수 있었다. I can be in c9fa5b8cb3b197ae5ce4baf8415a375b within t..
CTF-d_Network DefCoN#22 #1 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 와이어샤크에서 확인해보면 다양한 프로토콜 중 SMB프로토콜 흔적이 보인다. SMB프로토콜은 윈도우 시스템이 다른 시스템의 파일이나 디스크, 프린터와 같은 자원을 공유할 있도록 개발된 프로토콜이다. SMB프로토콜 패킷들 중에서 Documents.zip파일을 공유한 걸 볼 수 있다. 파일을 바로 추출해 보았다. zip 파일을 풀면 4개의 폴더가 있는게 폴더마다 그 속에 docx파일들이 많이 들어있다. docx파일에는 전부 base64로 인코딩되어 있어 하나씩 디코딩 하며 내용을 봐야한다. Enter the WuTang 폴더 안에 track6.docx에서 플래그를 찾을 수 있었다. 해당 내용을 디코딩 하면 사용자..
CTF-d_Network DefCoN#21 #8 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com wireshark에서 확인해보니 프로토콜 중에 SIP와 RTP프로토콜 패킷이 많이 있었다. 실시간 전송 프로토콜(Real-time Transport Protocol, RTP)은 IP 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이다. 메뉴-> Telephony-> SIP Flows를 클릭해보니 Jack Stone과 Betty 각각의 통화내용이 있다. 하지만 서로 목소리가 섞여 있어 잘 들리지 않는다. 메뉴-> RTP-> stream analysis에서 확인해보았다. Jack Stone이 Victoria와 통화하는 내용이 있다. Jack은 Gregory에게 "bad news about sick..
CTF-d_Multimedia #57 그들이 우리의 데이터를… www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com pcapng파일을 보면 sequence number가 정렬되어 있지 않았다. binwalk로 숨겨진 파일이 있는지 확인해보았다. jpg파일이 많이 보였지만 추출이 되지 않았다. foremost로 추출해보아도 알아보기 힘든 이미지가 나왔다. 주어진 파일은 pcapng파일인데 tcpflow를 할 때 잘 안되는 것 같아 pcap으로 바꾸어주었다. editcap -F libpcap -T ether shattered.pcapng shattered.pcap tcpflow는 sequence number를 이해하고 재전송 또는 비순차적 전달에 관계없이 데이터 스트림을 올바르게 재구성한다. tcpflow..
CTF-d_Multimedia #56 Find Key(docx) www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 docx파일을 PK로 바꾸어 압축을 풀어보면 media폴더에 이미지가 들어있다. jpeg파일 3개와 image2.emf, image4.emf는 docx파일에 있던 이미지이고, image6.emf파일은 열리지 않았다. image.emf파일을 HxD로 열어보니 시그니처가 PK였다. 맨처음 zip파일로 저장했지만 열리지가 않아서 docx파일로 저장했다. 파일에는 2013이라고 크게 적혀있었다. 여기서 부터는 다른사람 풀이를 참고했다.......... 문제 속 힌트에 Extra Field Entry라고 적혀있다. image6.emf파일 Hex값을 보면 0x39 오프셋부터 0으로 되어 있다..

반응형