문제풀이 사이트 :http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail
Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest
After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town. “We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police
forensicscontest.com
1.간단요약
1. ANN은 비밀연애를 하고 있다는 첩보가 들어옴
2. 우리는 ANN의 패킷을 분석하여 비밀연애의 진실을 풀려고함
2. 문제
1. 앤의 이메일 주소는?
2. 앤의 이메일 패스워드는?
3. 앤의 비밀연애 상대 이메일은?
4. 앤이 비밀연애 상대에게 가지고 오라고 한 것
5. 앤이 비밀연애 상대에게 보내 파일 이름
6. 앤의 비밀연애 상대에게 보낸 파일의 부착된 이미지의 MD5 checksum
7. 앤이 비밀연애 상대와 만날(?) 도시와 국가
8. 이미지 파일의 MD5sum
저번과 같은 방식으로 wireshark를 키고 evidence02 파일을 오픈한다.
TCP 프로토콜을 찾은 후 Follow -> TCP stream을 선택하면 다음과 같이 화면이 뜬다.
- 앤의 이메일 주소와 비밀번호 알아내기
이제 여기서 우리는 앤의 이메일 주소와 앤의 비밀번호를 알 수 있다.
밑줄 친것을 보면 알겠지만 이메일 주소는 sneakyg33k@aol.com이라는 것을 알 수 있다.
그럼 비밀번호는 어떻게 알 수 있는가
이 TCP stream을 잘 보면 Auth login이라는 것을 찾을 수 있다.
이걸 보고 밑에 있는 내용은 이메일과 비밀번호랑 관련이 있다는 것을 추측할 수 있다.
근데 생긴걸 보니 먼가 암호화에 걸려있는 것처럼 보인다.
이제 저 2개를 base 64 돌려보면 아이디와 비밀번호를 구할 수 있다.
비밀번호 = 558r00lz
- 앤의 비밀연애 상대 구하기, 가지고 와야하는 물건 찾기
계속 읽다보면 다음주 점심 못 먹을거 같으니 다음에 약속을 잡자고 한다.
근데 우리는 비밀연애 상대로부터 가져달라고 한 물건을 알아내야하는데 이것으로는 알 수가 없다.
그래서 stream을 하나씩 증가 시켜보았다.
stream1을 보니 또 하나의 메일이 존재한다.
stream1을 찬찬히 읽어보니 TO. 라는 문구가 보인다. 그리고 계속 읽다보면 가짜여권과 수영복을 가져다 달라고 하는 것을 볼 수 있다.
- 앤의 비밀연애 상대 : mistersecretx@aol.com
- 앤이 가져달라고 한 물건 : 가짜 여권, 수영복
- 앤이 비밀연애 상대(mistersecretx)에게 보낸 파일
계속 더 읽다봄보면 docx 파일이 보인다.
친절하게도 attachment와, filename이라고 적혀있다.
이걸보고 우리는 ANN이 보낸 파일은 secretrendezvous.docx라는 것을 알 수있다.
- 앤이 보낸 파일의 MD5sum
앤이 지금 secretx에게 보내는 것은 이메일 파일이다. -> 확장자 : .eml
이제 row 파일로 변경을 하여 파일 시그니처 뒤에 부분 부터 복사를 하여 HxD에 값을 넣는다.
eml파일 시그니처 -> 46 72 6F 6D 20 20 20 or 46 72 6F 6D 20 3F 3F 3F or 46 72 6F 6D 3A 20
eml 파일은 시그니처가 너무 많기 때문에 공통적으로 들어가는 46 72 6F 6D만 찾기로 하였다.
그 후 색깔이 달라지는 부분 전까지(나 같은 경우는 빨간색이었음)드래그 후 복사를 하여 HxD에 대입하여 파일명.eml로 저장 후 파일을 열어보니 다음과 같은 결과가 나왔다.
이메일을 열어보니 secretdezvous.docx 파일이 존재했다. 바로 다운을 받는다.
다운을 받은 후 HashCalc파일에 대입하면
이런 값이 나온다.
- 앤이 비밀연애 상대와 만나기로 한 도시, 국가
이제 docx 파일을 열어보면
이런 그림이 나오는데 여기에 보면 만나기로 한 장소와 국가가 나와있다.
-> 도시 : Playa del Carmen, 국가 : Mexico
- 문서에 담긴 이미지의 MD5 값
이제 문서에 담긴 MD5값만 찾으면 된다. 하지만 이 문서에서 그림만을 따로 추출하는 방법이 없다.
그럴 때 docx 파일을 zip 파일로 저장하면 된다.
그 후 압축을 풀면 image 파일만 추출이 가능하다.(image = /secertrendezvous -> word -> media)
이제 이미지를 HashCalc에 집어넣으면 aadeace50997b1ba24b09ac2ef1940b7라는 값이 나온다.
를 보고 내 방식대로 다시 풀었으며 wireshark를 많이 다뤄보지 않아 틀린 부분이 있을수 있다.
'network 문제' 카테고리의 다른 글
| forensic contest#4 (0) | 2019.04.02 |
|---|---|
| forensic contest#3 (0) | 2019.04.01 |
| Forensiccontest 문제 풀이#1 (0) | 2019.03.31 |
