#Digital Forensic with CTF/CTF-d_Network (13) 썸네일형 리스트형 CTF-d_Network DefCoN#21 #5 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 압축을 풀면 Dump폴더와 log.txt파일이 있다. log.txt파일을 보면 android dump 파일인 것을 알 수 있다. 먼저 앨범 사진을 확인하기 위해 DCIM폴더를 찾았다. Dump-> HWUserData-> DCIM-> Camara 쓰러져 있는 사람이 Gregory인 것 같다. Flag : DIED CTF-d_Network DefCoN#21 #4 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 주고 받은 메시지가 있을 것 같아 Network Miner로 확인해보았다. 두개의 메시지가 있다. Betty가 보낸 것을 보면 콘서트를 보는 건지 좌석얘기를 하면서 장소와 비밀번호를 알고 있다고 했다. 밑으로 내려보면 kml파일 코드가 있다. -115.1747400144938,36.11482578684966,0 -115.1747637269919,36.11483598910879,0 -115.1747994308382,36.11485348317316,0 중간에 이런식의 경도와 위도가 적혀있다. 코드를 복사하여 메모장에 붙여넣었다. ko.wikipedia.org/wiki/%ED%82%A4%ED%99%80_%E.. CTF-d_Network DefCoN#21 #3 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 키워드로 전화가 나왔다. 메세지 관련 문제일 것 같다. Export object-> HTTP에서 확인해보았다. 첫 번째에 mms-message가 나와있다. 해당 패킷을 Follow stream으로 확인해보면 VID 20130705 14557.mp4파일을 보낸 것을 알 수있다. 클라이언트부분만 raw로 바꾸어 test.mp4로 저장했다. HxD로 열어보면 클라이언트의 모든 내용이 저장되었기 때문에 불필요하 부분은 지워줘야 한다. mp4 헤더시그니처는 00 00 00 18 66 74 79 70 이다. 시그니처 앞부분을 다 지우고 다시 저장하였다. test.mp4파일을 열어보면 Top secret이라고 나오.. CTF-d_Network DefCoN#21 #2 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 둘의 대화 내용을 카빙했을 것이라 예상하고, NetworkMiner에서 메시지를 확인해보았다. 3개의 메세지가 카빙되어 있었다. Betty와 Gregory 대화가 있다. Betty가 S3cr3tVV34p0n가 패스워드라고 Gregory에게 보냈다. 메시지 마지막을 보면 DCC SEND라고 적혀있다. DCC SEND : 하나의 프로토콜 r3nd3zv0us : 파일이름 2887582002 : IP 1024 : port number 819200 : 보낸 파일 크기 메뉴 Stactistics-> Conversations에서 아까 포트가 1024라고 했으니 하단에 follow tcp stream으로 확인해보았다.. CTF-d_Network DefCoN#21 #1 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com ✔ 네트워크 첫 문제! 주어진 round1.pcap파일을 열어 처음에 보이는 TCP패킷을 follow tcp stream으로 확인해보았다. 바로 뭔가 발견한 것 같다. 처음에 Hi Greg와 what day do you want to meet up?가 보인다. 밑에보면 Ho ~~ 뭔가 뒤자리 숫자는 Hex값 같다. 메모장에서 숫자만 남기고 제거해보았다. 48 6F 77 20 64 6F 65 73 20 57 65 64 6E 65 73 64 61 79 20 73 6F 75 6E 64 3F How does Wednesday sound? 47 72 65 61 74 20 3A 29 20 77 68 61 .. 이전 1 2 다음
