sweetchip's blog


워밍업 문제 3번입니다.


생각보다 해멧던 문제입니다.


막상 해보고 나면 아무것도 아닌데..


문제 :


키가 187인 나쁜 동현이가 내 보물을 훔쳐갔다.

동현이의 컴퓨터에 MITM 공격을 해서 패킷을 캡쳐했다.

단서를 찾아 보물을 찾아오자


File:
evidence.pcap



mitm 이란 중간에서 패킷을 가로채는 arp spoofing 공격과 비슷합니다.


암튼 이 공격으로 패킷 내용을 빼왔다고 하네요


Hint

#1. HEYMAN
#2. EOF (End of File)



문제를 풀 당시 생각보다 사람들이 많이 풀지 못했습니다.


그래서 힌트를 두개씩 내놓자 한명 두명 풀기 시작하고 저는 2시간 만에 풀었네요


진짜 별것 아닌데..



어쩃거나.. 제 경험이 부족한거니 어쩔수 없이 생각하고 문제를 풀어봅시다.


일단 pcap 파일은 와이어 샤크라는 패킷 캡쳐및 분석 툴에서 분석이 가능합니다.


저는 와이어 샤크를 이용해서 문제를 풀어보겠습니다.




처음 와이어 샤크 패킷을 캡쳐한 것을 불러왔습니다.


사실 이것은 약간 노하우가 있긴 하지만 말로 설명하기엔 좀 그러니까


여러번 분석해보면 자신의 노하우가 생깁니다.


그런 노하우나 아니면 일일히 패킷을 대조하면서 수상한 패킷을 찾아 냅니다.



mfile.naver.com 의 서버에서 어떤 파일을 잡아냅니다.


그리고 힌트에서도 있는 heyman 입니다.


저것을 들어가 볼까요!? 이렇게나 쉽게 풀리다니..



이게 이미지 를 받아오는 부분입니다.



는 무슨 Access Denied 가 뜹니다.


하지만 방법이 있습니다.


pcap 는 패킷의 내용을 통채로 담고 있기 때문에, 저 jpg 파일은 pcap 안에 들어있는것과 마찬가지입니다.


그렇다면 추출을 할수 있다는것으로, 추출을 해야 합니다.





이런 순으로 export > objects > http 로 들어가신 다음




아까 이미지를 받아오는 부분의 패킷 넘버[캡쳐된 순서]를 찾아봅니다.


패킷 넘버는 15049 입니다.



역시나 heyman 파일이 존재합니다.


이제 저 파일을 save as 로 저장합니다.


확장자가 이상하게 되어있을테니 정확히 jpg 로 바꿔줍니다.




이쁜 손글씨와 함께


해커는 그곳으로 오라는 메세지를 남겼습니다.


제가 해맨곳은 바로 이곳입니다.


그곳.. 이라 하면 패킷을 조금더 뒤져봣지만 올림픽을 갓다오고, 아이유등 여러 아이돌을 검색한 흔적밖에 없어서


런던이라는 답을 제출 했지만 아니었습니다.


하지만 EOF 라는 힌트가 공개되고 감이 잡혔습니다.


end of file 이란 파일의 끝을 의미합니다.


그래서 설마 설마 했던 저 그림을 헥스 에디터로 보게 되었습니다.



아... 잘 보이시나요?


드래그 부분을 잘 살펴보세요


blog.naver.com/xlej1234


바로 저곳으로 접속해봅시다.



첨부 파일을 2개가 있는데 두개 모두 사진파일입니다.


그 사진파일 하나는 gif, jpg 인데


파일 하나씩 반씩 잘려있습니다.


그 두 파일을 함께 보면.




Password is I_want_to_have_girlfriend.


긴글 읽으시느라 수고하셨습니다.

신고

댓글 0