[CTF-d] Network_DefCoN#21 #3

 

3번 문제는 Gregory가 Betty를 만나지 못한다면 어떻게 죽게 되는지를 찾는 문제이다.

먼저 round3.pcap 파일을 와이어샤크로 열어보았다.

 

엄청 뭐가 많다..

 

무작정 스크롤을 내려보다가 MP4라는 문자를 발견했다!

 

무작정 스크롤 내려서 확인하는 방법 말고도 

File -> Export Objects -> HTTP 에서

http로 주고받은 파일이 나열되는 것을 볼 수 있다.

 

File -> Export Objects -> HTTP

 

다시 돌아가서 아까 발견한 패킷의 해당 패킷의 TCP Stream을 확인해 보았다.

아래 사진에서 확인할 수 있듯이 <VID_20130705_145557.mp4>, ....ftyp 같이 MP4 관련된 문자열이 존재하는 것을 알 수 있다.

여기서 ....ftyp는 MP4 파일의 시그니처이다. 

 

 

따라서 해당 스트림 안에 VID_20130705_145557.mp4 파일을 숨겨놓은 것이라고 추측했다.

 

 

MP4 파일을 추출하기 위해 먼저 10.92.182.35:44161 -> 66.209.11.32:80 선택 후 Raw파일로 저장을 한다.

(어차피 반대방향의 conversation은 불필요해서 지워주어야 하는 문자라 전체 conversation을 저장하지 않았다.)

 

 

그 다음 저장한 raw 파일을 헥스에디터인 HxD로 열어 MP4 파일 시그니처 이전의 불필요한 문자열 부분은 제거한 후

파일명을 .mp4로 바꾸어 저장한다.

 

MP4 파일 시그니처 이전 드래그 -> del 

 

그랬더니 영상이 생성되는 것을 확인할 수 있었다!!

 

YOU HAVE DIED OF DYSENTERY

 

영상 속에서 DYSENTERY 라는 단어를 발견할 수 있는데 아래와 같은 뜻을 가지고 있다.

 

위키백과

 

Gregory가 Betty를 만나지 못한다면 어떻게 죽게 되는지가 Key 이므로 정답은 DYSENTERY~

 

Key: DYSENTERY