#Digital Forensic with CTF/CTF-d_Network (13) 썸네일형 리스트형 CTF-d_Network DefCoN#22 #5 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 문제에서 메시지를 가로챘다고 하니 http 프로토콜에서 메시지를 찾아보았다. 메시지는 http.request.method == "POST" 필터에서 message가 적힌 패킷에 있었다. 찾은 메시지는 보낸 사람이 Ann이었다. #1 Who is this? #2 Where are you? #3 Do you know that there are people investigating Kim Ill-Song? #4 still we should be careful. Pay attention. I want to meet in September at 5PM. #5 yes. #6 I told you to pay attent.. CTF-d_Network DefCoN#22 #4 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 주어진 패킷을 보면 SIP와 STUN 패킷이 많이 보인다. STUN은 실시간 음성, 비디오, 메시징 애플리케이션, 그리고 기타 상호작용 통신 부문에서 네트워크 주소 변환(NAT) 게이트웨이의 트레버설을 위한, 네트워크 프로토콜을 포함하는 메소드들의 표준화된 모임이다. ko.wikipedia.org/wiki/STUN 메뉴-> Telephony->SIP Statistics에 들어가보면 데이터 통계자료를 볼 수 있다. STUN 프로토콜 패킷을 Follow UDP Stream으로 보면 알 수 없는 문자열들 중에 user@ 말고 또 다른 계정이 보인다. Flag : drpoppins-735 CTF-d_Network DefCoN#22 #3 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com pcap파일을 열어보면 다양한 프로토콜들이 있다. 그 중 FTP 프로토콜에서 sandofwhich.zip 파일과 ojd34.zip파일이 있다는 걸 알 수 있다. Network Miner에서 두 파일을 검색하여 바로 추출해보았다. 확장자는 jpg이고 I라는 단어만 유일하게 jpg 헤더를 갖고 있다. 단어를 배열해서 헥스값을 합치면 될 것 같다. 힌트에서 주어진 Snowden’s-eloquent-quotes를 구글에 검색해보았다. 비슷한 단어를 가진 문장을 찾았다. 하지만 단어가 몇 개 빈다...... 아무래도 zip파일이 더 있는 것 같다. 다시 wireshark로 와서 pk를 검색해보았다. tcp.strea.. CTF-d_Network DefCoN#22 #2 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 문제에서 의사소통하고 있다고 하니 NetworkMiner에서 메시지를 확인해보았다. 메시지는 모두 base64인코딩 되어 있어 복호화를 해보았다. base64로 디코딩하면 또다른 알 수 없는 문자열이 나온다. 계속 디코딩해도 안되서 base32로 디코딩을 해보았다. 이런식으로 다른 메시지들로 하나씩 해보면 내용을 알 수 있다. 중간에 Base로 디코딩이 되지 않은 메시지도 있지만 플래그를 찾는 데는 필요하지 않았다. 중간쯤 Genius1이 III-Song에게 보내는 메시지에서 위와 같은 문자열을 찾을 수 있었다. I can be in c9fa5b8cb3b197ae5ce4baf8415a375b within t.. CTF-d_Network DefCoN#22 #1 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 와이어샤크에서 확인해보면 다양한 프로토콜 중 SMB프로토콜 흔적이 보인다. SMB프로토콜은 윈도우 시스템이 다른 시스템의 파일이나 디스크, 프린터와 같은 자원을 공유할 있도록 개발된 프로토콜이다. SMB프로토콜 패킷들 중에서 Documents.zip파일을 공유한 걸 볼 수 있다. 파일을 바로 추출해 보았다. zip 파일을 풀면 4개의 폴더가 있는게 폴더마다 그 속에 docx파일들이 많이 들어있다. docx파일에는 전부 base64로 인코딩되어 있어 하나씩 디코딩 하며 내용을 봐야한다. Enter the WuTang 폴더 안에 track6.docx에서 플래그를 찾을 수 있었다. 해당 내용을 디코딩 하면 사용자.. CTF-d_Network DefCoN#21 #8 http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com wireshark에서 확인해보니 프로토콜 중에 SIP와 RTP프로토콜 패킷이 많이 있었다. 실시간 전송 프로토콜(Real-time Transport Protocol, RTP)은 IP 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이다. 메뉴-> Telephony-> SIP Flows를 클릭해보니 Jack Stone과 Betty 각각의 통화내용이 있다. 하지만 서로 목소리가 섞여 있어 잘 들리지 않는다. 메뉴-> RTP-> stream analysis에서 확인해보았다. Jack Stone이 Victoria와 통화하는 내용이 있다. Jack은 Gregory에게 "bad news about sick.. CTF-d_Network DefCoN#21 #7 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 문제에서 계좌에 대해 언급해서 bank를 찾아보니 여러 주소가 있었다. 첫 번째 주소(www.bankofamerica.com)를 virus total에서 검색해보니 실제 존재하는 사이트였다. bankofamerica가 들어간 url은 총 3개인데 그중 두개의 도메인은 com이고, 다른 하나는 net으로 되어 있다. Follow tcp stream에서 확인해보니 why is my bank of america account not working이라고 적혀있었다. Flag : http://bankofamerica.tt.omtrdc.net CTF-d_Network DefCoN#21 #6 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com NetworkMiner로 먼저 확인해본 결과 파일이 총 6개가 존재했다. 악성페이로드를 물어봤으니 이 파일들을 Virustotal사이트에서 확인해보았다. NetworkMiner에서 해당 파일을 우클릭하여 openfile하면 파일이 생성된다. virustotal에서 파일을 업로드하여 확인해본 결과 Trojan 악성코드가 나왔다. 파일은 200912-paimia-&a.html이다. 용량을 물어봤으니 3,113B이다. Flag : 3113 이전 1 2 다음
