| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- python
- 대칭키암호
- CTF
- Symmetric key algorithm
- Stream cipher
- Symmetric key
- php
- NFPC
- c
- block cipher
- 대칭키 암호
- 포렌식
- 파이썬
- 암호
- Symmetric key crypto
- C언어
- WEB
- 암호수학
- DefCon 21
- 파이썬 문제
- Defcon
- 파이썬 공부
- forensic
- network forensic
- 암호학
- 파이썬 문법
- 웹
- pythonchallenge
- The python challenge
- 네트워크
- Today
- Total
Hardner
DEFCON 21 Round4 NFPC: Write up 본문
DEFCON 2013 Network Forensics Puzzle Contest: Mystery Date
Gregory, still unsure of Betty's true identity, meets with a group identifying themselves as Betty's Associates. They gave him a list of demands including numbers to bank accounts, and additional secret documents. Betty's Associates told Gregory he will be provided with information regarding the delivery of the goods.
Use the Round 4 packet capture in this folder to answer the following question:
1.What is the password provided to Gregory?
MD5 CHECKSUM:
round4.pcap:
a2466895a6b822fedc947411b1c5dc0f
Remember:
You must answer the question in this round, in order to unlock the next round of the contest.
※문제 출처: LMG Security
문제의 핵심은 Round4 패킷을 분석해서 Gregory에게 제공된 비밀번호를 알아내는 것이다.
WireShark를 이용해서 분석을 해보도록 하자.
[Conversations] 기능을 통해 전체적인 세션을 보게 되면 별다른 특이점이 보이지 않으므로 [Export - HTTP object list]를 보면 mail을 이용한 흔적이 보인다.
컨텐트 타입을 보면 urlencoded가 보인다. 이외에는 눈에 띄는 흔적이 없고 이와 같은 것이 많지 않으므로 하나하나 다 확인한다.
7번세션에서 장문으로 URL 인코딩된 글이 확인 된다. 이를 디코딩 하면
From: Betty Swindoll <betty_swindoll@aol.com>
To: d34thm3rch4nt <d34thm3rch4nt@aol.com>
Sent: Wed, Jun 26, 2013 1:13 pm
Subject: Dinner and a Show
Hey Greg!
I'm so happy you made it. :)
We should see a concert! How about Rod Stewart, the hits.
Second Mezzanine, Section 4, Row H, Seat 410.
You know the location and password for the drop.
We should get dinner afterwards!
이후 XML문서가 작성되어있다.(장문이므로 생략.)
여기서, 위의 You know location and password for the drop. 이라는 말과 XML 문서에 KML태그가 있는 점을 보아 이를 확인할 필요성이 있어 보인다.
※ KML 태그란 Keyhole Markup Laanguage의 약자로 지리 데이터를 표시하는 데 사용되는 파일 형식을 말한다.
KML태그를 확인하기 이전에 아직 남은 URL인코딩된 메일을 보면
15번째 세션에서 장문으로 URL인코딩된 글이 확인 된다. 이를 디코딩 해보면
From: d34thm3rch4nt@aol.com
To: betty_swindoll@aol.com
Subject: Re: Dinner and a Show
betty,
Got it, I'll be there.
Greg
betty 메일에 대한 답장으로 Greg가 작성한 글이었다.
그럼 이제 KML 태그 확인을 하기 위해 XML 문서를 복사해서 텍스트 에디터에 붙여넣기를 한다.
이때, '\','\n'과 같은 특수문자는 제거한다. 하지않으면 오류가 발생하기 때문이다.
KML 확장자로 파일을 저장한 후 이를 실행해보기 위해 Google Earth를 이용한다.
KEY = Brutus
'Computer > Forensic' 카테고리의 다른 글
| Forensic - 비활성 데이터 (0) | 2019.08.04 |
|---|---|
| DEFCON 21 Round3 NFPC: Write up (0) | 2019.07.15 |
| DEFCON 21 Round2 NFPC: Write up (0) | 2019.07.12 |
| 디지털 포렌식의 유형 (1) | 2019.07.07 |
| DEFCON 21 Round1 NFPC: Write up (0) | 2019.07.05 |
