close
프로필 배경
프로필 로고

매일매일 성장하는 블로그

network 문제 · 2019. 3. 31. fullscreen 넓게보기

Forensiccontest 문제 풀이#1

반응형

문제풀이 사이트 : http://forensicscontest.com/puzzles

 

Puzzles! – Network Forensics Puzzle Contest

Here are links to the puzzles so far… Puzzle #1: Ann’s Bad AIM Puzzle #1 Answers and Winners Puzzle Contest #1 ran from 8/12/2009-9/10/2009 Puzzle #2: Ann Skips Bail Puzzle #2 Answers Puzzle #2 Winners Puzzle Contest #2 ran from 10/10/2009-11/22/2009. Puzz

forensicscontest.com

1번문제

1. 간단요약

  1. 회사는 회사원 ANN이 스파이라고 의심

  2. ANN은 recipe에 접근권한이 있어 receipe를 빼앗길까봐 걱정

  3. 회사 무선랜에 낯선 IP 접속(192.168.158) & 이 IP서 IM이라는 사람에게 파일이 전송됨

 

=> 대충 보면 ANN이라는 사람은 recipe를 IM이라는 사람에게 전송하려는 것 같다.

2. 문제

  1. IM의 이름은

  2. 캡쳐된 IM 대화서 첫번째로 언급한 말은?

  3. 앤이 전송한 파일 이름은?

  4. 추출하고자 하는 파일의 Magic Number(앞의 4byte)?

  5. 파일의 MD5 SUM은?

  6. 비법은?

 

풀이

문제에서 192.168.1.158이라는 숫자를 누르게 되면 패킷 파일이 다운로드 된다.

파란색 숫자를 누르면 파일이 다운로드 된다.

다운을 받은 후 wireshark를 킨 다음에 File 선택 후 open 선택 후 설치한 evidence01을 누르면 1번 패킷을 열 수 있다.

1번 패킷 open한 결과

 

여기서 가장 먼저 나오는 TCP 프로토콜을 오른쪽 마우스 클릭 -> Follow -> TCP 스트림을하면

다음과 같은 화면이 나온다.

TCP 스트림 follow 결과

오른쪽 아래를 보면 stream을 위로 올리다 보면 힌트가 되는 내용이 나온다.

이제 여기서 우리는 1,2,3번의 정답을 얻어낼 수 있다.

1번,2번,3번 답

1. IM의 이름은 - Sec558user1

2. 캡쳐된 IM 대화서 첫번째로 언급한 말은? - Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go>:-)

3. 앤이 전송한 파일 이름은? - recipe.docx

인 것을 알 수 있다.

 

4. 파일의 Magic number는(앞에 4글자)?

우리는 파일이 docx파일이라는 것을 알아냈다.

이제 docx의 매직넘버(파일 시그니처)를 알아내야 한다.

매직넘버는 인터넷에 검색하면 다 나온다. - 50 4B 03 04

 

6. recipe 내용은?

아까 틀어놓은 TCP stream에서 Show and save data as를 Row로 변경 후 504b030414000600으로 시작하는 곳 부터 끝까지 복사를 한 후 HxD라는 파일에 복사 후 파일명.docx로 복사를 한다.

HxD 사용법

이제 저장된 파일을 열어보면 다음과 같은 내용의 docx 파일이 나온다.

docx 파일 내용

레시피

1 serving, ingredients, 4cups sugar, 2cups water

 

5. 파일의 MD5 sum 값

구해놓은 docx 파일을 HashCalc이라는 프로그램안에 집어 넣고 MD5 체크 후 calculate를 누르면 8350582774e1d4dbe1d61d64c89e0ea1라는 값이 나온다.

 

 

문제풀이는 https://m.blog.naver.com/PostView.nhn?blogId=chogar&logNo=220144994756&categoryNo=71&proxyReferer=http%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3D%26esrc%3Ds%26source%3Dweb%26cd%3D1%26ved%3D2ahUKEwjnr5froazhAhUKrpQKHVW6BsEQFjAAegQIARAB%26url%3Dhttp%253A%252F%252Fm.blog.naver.com%252FPostView.nhn%253FblogId%253Dchogar%2526logNo%253D220144994756%2526categoryNo%253D71%26usg%3DAOvVaw3tqr6VfN-QSfF_0a8-RSdC를 보고 참조하여 내 방식대로 풀었으며 와이어샤크를 배운지 얼마 안되어 이 방식이 맞는 방식이 아닐 수도 있으니 참고만 하길.....

 

반응형
저작자표시

'network 문제' 카테고리의 다른 글

forensic contest#4  (0) 2019.04.02
forensic contest#3  (0) 2019.04.01
forensic contest #2  (0) 2019.03.31
network 문제 관련 글
더 보기

티스토리툴바