4라운드의 문제는 Betty의 동료들이 Gregory에 제공한 비밀번호를 찾는 문제이다.
일단 round4.pcap 파일을 와이어샤크로 확인해 보았다.
3라운드에서 사용했던 방법과 같이 File -> Export Objects -> HTTP 에서
통신을 했을것이라고 추측할 수 있을만한 증거를 찾다가
mail.aol.com 이라는 호스트 이름을 발견했다.
구글에 mail.aol.com을 쳐보니 AOL이 제공하는 웹 기반 메일 서비스 임을 알 수 있었다.
그래서 289번째 패킷의 TCP Stram을 확인해 보았는데 내용이 어떻게 인코딩 되어있는건지도 모르겠고 해서
NetworkMiner에 round4.pcap 파일을 넣어보았다.
그랬더니 바로 Messages 부분에서 Betty가 Greg에 보낸 메일내용을 확인할 수 있었다!!!!!
Rod Stewart의 콘서트에서 만나자고 하면서 You Know the location and password for the drop. 이라고 쓰여있다.
그리고 메시지 아래에는 스크립트가 있었다.
스크립트를 보면 kml 파일을 전송하는 것을 알 수 있다.
kml 파일이 뭔지 찾아봤더니 Google 어스로 지리데이터 및 연결된 콘텐츠를 저장하기 위해 작성된 파일 형식이라고 한다.
처음에는 NetworkMiner에 있는 kml 내용 복붙해서 \(역슬래시) 다 지운다음에 KML Viewer에 넣어봤는데
제대로 정답이 안나와서 다시 와이어샤크에서 메일내용 URL 디코딩 한 다음 뒤에 coordinates 부분만 복붙해서 바꿔주니까 제대로 정답이 나왔다 :(
왜 NetworkMiner에서는 짤려 나오는지 이해할 수 없다 증말......
URL 디코더 (다른것은 길이제한이 있어서 제대로 디코딩이 안됐음..)
https://heavenly-appear.tistory.com/176
[URL 인코더, 디코더] url인코딩, url디코딩 - 바로 변환해드려요!
Encoding Decoding 복사버튼은 현재 크롬에서만 지원가능합니다. 안녕하세요. 개인적으로 url인코딩 및 url디코딩을 자주 변환해서 자바스크립트로 기반으로 URL인코더 및 URL디코더를 만들었습니다. (�
heavenly-appear.tistory.com
사용한 KML Viewer
KML Viewer
Please enable JavaScript to view this site.
ivanrublev.me
(사실 구글어스에서도 kml 파일 실행해봤는데 글자가 제대로 안나왔다...왜그런거지....ㅠㅠ)
key: Brutus
'CTF Write-Ups > [DigitalForensic] with CTF' 카테고리의 다른 글
| [CTF-d] Multimedia_Find Key(Movie), 답을 찾기 위해 돋보기를 써라! (0) | 2020.08.03 |
|---|---|
| [CTF-d] Multimedia_오른쪽 위의 표지판을 읽을 수... (0) | 2020.07.21 |
| [CTF-d] Network_DefCoN#21 #3 (0) | 2020.07.21 |
| [CTF-d] Network_DefCoN#21 #2 (0) | 2020.07.13 |
| [CTF-d] Multimedia_Find Key(butterfly) (0) | 2020.07.13 |
