[CTF-d] Network_DefCoN#21 #6

악성 페이로드의 용량을 구하는 문제이다.

 

페이로드(payload):  페이로드는 사용에 있어서 전송되는 데이터를 뜻한다.  페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다. 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다. 웜, 바이러스, 트로이목마 같은 해로운 소프트웨어를 분석할 때 페이로드는 그 소프트웨어가 주는 피해를 뜻한다. 예를 들어 페이로드에는 데이터 훼손, 스팸메일, 개인정보를 알아내기 위해 다수에게 보내는 이메일 등이 있다. 즉 페이로드는 전송 행위의 본래 의도를 뜻한다. 출처:위키피디아

 

round6.pcap을 먼저 wireshark로 살펴보았다.

 

 

POP 프로토콜이란 것이 있어서 찾아보았다.

포스트 오피스 프로토콜(Post Office Protocol, POP): 응용 계층 인터넷 프로토콜 중 하나로, 원격 서버로부터 TCP/IP 연결을 통해 이메일을 가져오는데 사용된다. 여러 버전의 POP 프로토콜이 개발 되었지만 일반적으로 POP를 지칭하는 경우 보통 POP3을 가리킨다. 윈도우 라이브 핫메일, G메일, 및 Yahoo! 메일과 같은 대부분의 웹 메일에서 지원한다. POP3가 마지막 표준이다. 대부분의 이메일 프로그램이 서버에 이메일을 남겨두는 기능을 제공하지만, POP는 원격 서버에 접속해서 이메일을 가져온 후 서버에서 이메일을 삭제한다. 반면 IMAP와 같은 다른 프로토콜은 이메일을 남겨두는 등 좀 더 복잡하고 많은 기능을 제공한다.

 

해당 파일을 NetworkMiner로도 살펴보았는데 6개의 파일이 있었다.

이 중 위의 4가지는 인증서 파일이었고, 의심되는 파일은 5번째의 html 파일이다.

 

 

위의 html파일을 네이버백신으로 검사해 보았는데 아무것도 감지를 못해서 

virustotal 사이트에 넣어보았더니 Trojan.Script로 감지가 되었다.

(네이버백신이 똑똑한건가 멍청한건가..)

 

 

따라서 정답은 3113Byte~

 

flag: 3113