ctf-d network DefCoN#21 #2

처음 풀어보는 포렌식문제!

pcap파일을 처음봐서 우선 분석을 위해 data miner를 다운받았다.

참고한 글 : https://aaasssddd25.tistory.com/58

[2장] 네트워크 패킷 분석 - 툴 설명(Network Miner, CapTipper)

 

 

메세지를 먼저 확인해보면 총 3개의 메세지가 있다.

처음에 만나기로 한 곳에서 Betty가 노쇼를 한 거 같다.

 

password for where you should meet me: S3cr3tVV34p0n

DCC SEND r3nd3zv0us 2887582002 1024 819200

 

힌트가 될만한건 이 내용들인거 같다.

 

PRIVMSG가 뭔가 명령어인거 같아서 검색을 해봤다.

https://www.computerhope.com/jargon/p/privmsg.htm

음 채팅을 하고 있다는거 같고

DCC는 서버를 통하지않고 사용자와 직접 연결하는 방법이라고 한다. 

DCC SEND filename ip port filesize 형태로 사용한다고하는데

이에 따르면 사이즈가 819200사이즈인 r3nd3zv0us라는 파일을 1024포트로 ip 2887582002한테 전송했다는 의미가 된다.

 

files탭에서 해당조건에 해당하는걸 찾으면 될 것 같았는데 사이즈가 819200인 파일은 보이지 않았다..

그래서 또 검색을 해보니 data miner로는 되지 않는 것 같아 wire shark를 다운받았다.

참고한 글 : https://aaasssddd25.tistory.com/57?category=617816 

[1장] 네트워크 패킷 분석 - 툴 설명(Wireshark)

조건에 해당하는 파일이 이것인거 같다.

 

다른 라이트업에서 본대로 Raw파일로 저장을 했는데 이번엔 이 파일을 분석하려면

veracrypt라는 프로그램을 이용해야하는거 같다.

정말 한문제 푸는데 많은 프로그램이 필요하다는 생각이...

 

TrueCrypt모드에 체크를 해주어야 한다. 체크를 안해서 시간을 좀 날렸다.

이렇게 이미지와 텍스트파일이 들은걸 확인할 수 있다!

 

사진 속 도시 이름을 입력해주면 완료!