Degital Forensic/Degital Forensic CTF9 [ctf-d.com] DefCoN#22 #1 문제를 확인해보자. DatSecrets라는 pcap 파일이 존재한다. 먼저, 와이어샤크를 통해 연다. SNMP 프로토콜이 많이 보이므로 SMB Object 기능을 사용하여 파일을 확인한다. 파일 목록을 확인해보자. 유독 DOCUMENTS 파일이 많이 보인다. 파일의 압축을 풀면 위와 같이 나온다. 위의 두 파일의 내용을 확인해보자. track6.docx track10.docx 파일의 내용을 봤을 때 base64로 암호화 되어 있다는 것을 알 수 있다. The Mystery of Chess Boxing: (usernames) Mr. Method Kim Ill-Song Mr. Razor Mr. Genius Mr. G. Killah Matt Cassel Mr. I. Deck Mr. M Killa Mr. O.D.. 2021. 6. 28. [ctf-d.com] DefCoN#21 #8 문제를 확인한다. pcap 파일을 다운로드 받는다. RTP 프로토콜을 이용해서 전송한 패킷을 확인할 수 있었다. RTP 프로토콜이란, 실시간으로 IP 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이다. [Telephony] - [RTP] - [Stream Analysis]을 통해 들어간다. v 빅토리아는 모두를 죽이겠다고 한다. Greg를 죽인 사람은 Victoria이다. 2021. 6. 28. [ctf-d.com] DefCoN#21 #7 문제를 확인해보았다. URL을 찾으라고 한다. 와이어샤크를 통해 열어보자. HTTP Object를 통해 확인해보니 다른 은행 사이트와 다른 악의적인 사이트가 보인다. 아까 와이어샤크에서 확인했던 URL을 NetworkMiner를 통해 확인하였다. 도메인을 알아보기 위해 와이어샤크에 위와 같이 검색하여싸. 그 후, TCP STREAM으로 열었다. FLAG: http://bankofamerica.tt.omtrdc.net 2021. 6. 28. [ctf-d.com] DefCoN#21 #6 문제를 확인해보았다. 악성 페이로드의 용량을 찾으라고 한다. pcap 파일이 있다. 와이어샤크를 통해 열어보자. 패킷에 어떤 파일이 있는지 보기 위래 HTTP Object를 찾아보았다. 위의 두 가지 파일이 보인다. html 확장자의 파일을 확인해보자. 저장했더니 윈도우에서 바이러스를 감지했다. html 확장자를 가졌던 파일이 우리가 찾아야 하는 악성코드를 보유한 파일이라는 것을 알게 되었다. 용량: 3113 2021. 6. 28. [ctf-d.com] DefCoN#21 #5 문제 파일의 zip 파일을 푼다. Dump 파일과 log 파일이 보인다. log 파일을 보면 안드로이드를 사용하고 HUAWEI를 사용하는 것을 알 수 있었다. 다음은 Dump 파일이다. 안드로이드를 사용하면서 생긴 Dump 파일로 예상된다. 아까 log 파일에서 HUAWEI를 사용한다고 했기 때문에 관련 파일로 들어간 후, DCIM 파일을 본다. DCIM 파일은 휴대용 저장매체의 사진 및 동영상 저장을 관리해주는 폴더이다. 들어가보니 한 장의 사진이 보인다. 넘어져 있는 폼이 평범하지 않고 죽어있는 듯 하다. die와 died 중 하나일 것으로 예상된다. 하나 하나 입력해보자. DIE는 답이 아니다. DIED가 맞았다. 2021. 6. 28. [ctf-d.com] DefCoN#21 #4 문제이다. 이번에도 NetworkMiner를 통해 먼저 열어보겠다. 두 개의 메시지가 보인다. Betty의 메시지를 보면 좌석 이야기가 나오면서 장소와 비밀번호에 대한 내용이 있다. XML 파일이 보인다. 위도와 경도에 대한 내용도 확인할 수 있다. NotePad++를 통해 xml 파일을 만든다. \를 공백으로 변경한다. 비밀번호는 Brutus이다. 2021. 6. 28. 이전 1 2 다음
