본문 바로가기

DefCoN#21

(5)
[CTF-d] Network_DefCoN#21 #6 악성 페이로드의 용량을 구하는 문제이다. 페이로드(payload): 페이로드는 사용에 있어서 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다. 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다. 웜, 바이러스, 트로이목마 같은 해로운 소프트웨어를 분석할 때 페이로드는 그 소프트웨어가 주는 피해를 뜻한다. 예를 들어 페이로드에는 데이터 훼손, 스팸메일, 개인정보를 알아내기 위해 다수에게 보내는 이메일 등이 있다. 즉 페이로드는 전송 행위의 본래 의도를 뜻한다. 출처:위키피디아 round6.pcap을 먼저 wireshark로 살펴보았다. POP 프로토콜이란 것이 있어서 찾아보았다. 포스트 오피스 프로토..
[CTF-d] Network_DefCoN#21 #5 먼저 round5.zip 파일을 압축해제해 보니 Dump 폴더와 log.txt 파일이 있고, Dump 폴더 안에는 cache, data, wifi, rc 등 여러가지 파일이 있었다. dump: 기억장치의 내용을 전부 또는 일부를 인쇄하여 출력하는 것 dump 파일: 프로그램 디버그 또는 시스템 테스트의 목적을 위해 기록되는 파일 먼저 log.txt파일을 살펴보았다. dump_android.cpp compiled , dump_android_fs.cpp compiled 등의 문자가 있는 것으로 봐서 앞에 있던 dump 폴더는 배달 온 휴대폰의 덤프파일이라고 추측할 수 있었다. Dump 폴더안에 HWUserData에 해당 휴대폰 주인의 데이터가 있을것이라고 생각되어서 확인해 보았다. 아래와 같이 pcap 파일..
[CTF-d] Network_DefCoN#21 #4 4라운드의 문제는 Betty의 동료들이 Gregory에 제공한 비밀번호를 찾는 문제이다. 일단 round4.pcap 파일을 와이어샤크로 확인해 보았다. 3라운드에서 사용했던 방법과 같이 File -> Export Objects -> HTTP 에서 통신을 했을것이라고 추측할 수 있을만한 증거를 찾다가 mail.aol.com 이라는 호스트 이름을 발견했다. 구글에 mail.aol.com을 쳐보니 AOL이 제공하는 웹 기반 메일 서비스 임을 알 수 있었다. 그래서 289번째 패킷의 TCP Stram을 확인해 보았는데 내용이 어떻게 인코딩 되어있는건지도 모르겠고 해서 NetworkMiner에 round4.pcap 파일을 넣어보았다. 그랬더니 바로 Messages 부분에서 Betty가 Greg에 보낸 메일내용을 ..
[CTF-d] Network_DefCoN#21 #3 3번 문제는 Gregory가 Betty를 만나지 못한다면 어떻게 죽게 되는지를 찾는 문제이다. 먼저 round3.pcap 파일을 와이어샤크로 열어보았다. 무작정 스크롤을 내려보다가 MP4라는 문자를 발견했다! 무작정 스크롤 내려서 확인하는 방법 말고도 File -> Export Objects -> HTTP 에서 http로 주고받은 파일이 나열되는 것을 볼 수 있다. 다시 돌아가서 아까 발견한 패킷의 해당 패킷의 TCP Stream을 확인해 보았다. 아래 사진에서 확인할 수 있듯이 , ....ftyp 같이 MP4 관련된 문자열이 존재하는 것을 알 수 있다. 여기서 ....ftyp는 MP4 파일의 시그니처이다. 따라서 해당 스트림 안에 VID_20130705_145557.mp4 파일을 숨겨놓은 것이라고 추측..
[CTF-d] Network_DefCoN#21 #2 WireShark에서 round2.pcap 파일을 열어서 IRC 프로토콜을 사용한 패킷을 먼저 찾아보았다. IRC(Internet Relay Chat) : 실시간 채팅 프로토콜로 여러 사용자가 모여 대화를 나눌 수 있다. (위키백과) IRC 를 검색해서 나온 패킷들을 하나씩 살펴보다가 제일 마지막에 betty: Message to D34thM3rch4n t blocked: Please find another way to transfer your file 이라는 메시지를 발견했다. 그래서 6780번째 주변의 패킷들도 살펴보았다. 6783번째에 betty!~ 라면서 메시지가 있는 것을 또 확인할 수 있다. 해당 줄의 tcp stream을 따라가 보니 betty!~secret2@7FF07A37.29E7D414..