[CTF-d] Network_DefCoN#21 #2

WireShark에서 round2.pcap 파일을 열어서

IRC 프로토콜을 사용한 패킷을 먼저 찾아보았다.

 

IRC(Internet Relay Chat) : 실시간 채팅 프로토콜로 여러 사용자가 모여 대화를 나눌 수 있다. (위키백과)

filter -> irc

IRC 를 검색해서 나온 패킷들을 하나씩 살펴보다가 제일 마지막에

betty: Message to D34thM3rch4n t blocked: Please find another way to transfer your file 

이라는 메시지를 발견했다.

 

그래서 6780번째 주변의 패킷들도 살펴보았다.

 

6783

6783번째에 betty!~ 라면서 메시지가 있는 것을 또 확인할 수 있다.

해당 줄의 tcp stream을 따라가 보니

 

betty!~secret2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG D34thM3rch4nt :.DCC SEND r3nd3zv0us 2887582002 1024 819200.

 

위와 같은 메시지를 발견할 수 있었는데 DCC가 무엇인지 몰라서 찾아봤다.

 

DCC(Direct Client-to-Client): IRC와 관련된 하위 프로토콜로 파일을 교환할 때 사용한다. DCC SEND <filename> <ip> <port> <filesize> 형식으로 사용됨.

 

따라서 DCC SEND r3nd3zv0us 2887582002 1024 819200의 의미는 사이즈가 819200인 r3nd3zv0us 파일을 1024 포트로 전송했다는 의미가 된다.

 

---

 

구글에 문제를 검색해보니 Betty와 Greg가 이메일을 주고받는걸 찾을 수 있다고 하는데 와이어샤크에서는 어디있는지 찾을수가 없어서 NetWorkMiner라는 프로그램을 다운받아서 확인해 보았다.

 

NetWorkMiner: Network Forensic Analysis Tool 와이어샤크와 다른 점은 어떠한 파일(이미지, 문서 등)이 전송되었는지 재구성하여 보여준다.

 

https://blog.naver.com/PostView.nhn?blogId=stop2y&logNo=221033954685&parentCategoryNo=&categoryNo=153&viewDate=&isShowPopularPosts=true&from=search

NetworkMiner 개요 / 사용법

https://www.netresec.com/index.ashx?page=NetworkMiner

NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏

 

 

 

NetworkMiner로 확인하니 바로 주고받은 메시지 정보가 보인다.

DCC SEND로 보낸 파일의 password: S3cr3tVV34p0n

 

다시 와이어샤크로가서 1024포트를 사용한 패킷을 찾아서 해당 패킷의 tcp stream을 따라가 보았다.

filter: tcp.port==1024

 

 

Entire conversation을 클릭해보면 172.29.1.50:1024에서 172.29.1.55:1024로 보낸것이 819kB인것을 확인할 수 있다.

앞에 DCC SEND로 819200크기로 보낸 것을 알기 때문에 클릭 후 파일을 추출한다.

 

VaraCrypt 프로그램을 사용해 복호화 했다.

 

https://www.veracrypt.fr/en/Downloads.html

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid

 

추출한 파일선택 -> A,B...~드라이브 중 하나 더블클릭-> 암호입력

프로그램을 받고도 어떻게 복호화하는지 모르겠어서 한참을 헤맸다..

 

복호화가 성공하면 아래와 같이 텍스트 파일 하나와 이미지 파일 하나가 생긴다.

 

 

 

Betty와 Gerg는 Las Vegas에서 만나는 것을 알 수 있다~~~~~~~~~~~~~~~~~

key: LAS VEGAS