분류 전체보기202 [ctf-d.com] DefCoN#21 #7 문제를 확인해보았다. URL을 찾으라고 한다. 와이어샤크를 통해 열어보자. HTTP Object를 통해 확인해보니 다른 은행 사이트와 다른 악의적인 사이트가 보인다. 아까 와이어샤크에서 확인했던 URL을 NetworkMiner를 통해 확인하였다. 도메인을 알아보기 위해 와이어샤크에 위와 같이 검색하여싸. 그 후, TCP STREAM으로 열었다. FLAG: http://bankofamerica.tt.omtrdc.net 2021. 6. 28. [ctf-d.com] DefCoN#21 #6 문제를 확인해보았다. 악성 페이로드의 용량을 찾으라고 한다. pcap 파일이 있다. 와이어샤크를 통해 열어보자. 패킷에 어떤 파일이 있는지 보기 위래 HTTP Object를 찾아보았다. 위의 두 가지 파일이 보인다. html 확장자의 파일을 확인해보자. 저장했더니 윈도우에서 바이러스를 감지했다. html 확장자를 가졌던 파일이 우리가 찾아야 하는 악성코드를 보유한 파일이라는 것을 알게 되었다. 용량: 3113 2021. 6. 28. [ctf-d.com] DefCoN#21 #5 문제 파일의 zip 파일을 푼다. Dump 파일과 log 파일이 보인다. log 파일을 보면 안드로이드를 사용하고 HUAWEI를 사용하는 것을 알 수 있었다. 다음은 Dump 파일이다. 안드로이드를 사용하면서 생긴 Dump 파일로 예상된다. 아까 log 파일에서 HUAWEI를 사용한다고 했기 때문에 관련 파일로 들어간 후, DCIM 파일을 본다. DCIM 파일은 휴대용 저장매체의 사진 및 동영상 저장을 관리해주는 폴더이다. 들어가보니 한 장의 사진이 보인다. 넘어져 있는 폼이 평범하지 않고 죽어있는 듯 하다. die와 died 중 하나일 것으로 예상된다. 하나 하나 입력해보자. DIE는 답이 아니다. DIED가 맞았다. 2021. 6. 28. [ctf-d.com] DefCoN#21 #4 문제이다. 이번에도 NetworkMiner를 통해 먼저 열어보겠다. 두 개의 메시지가 보인다. Betty의 메시지를 보면 좌석 이야기가 나오면서 장소와 비밀번호에 대한 내용이 있다. XML 파일이 보인다. 위도와 경도에 대한 내용도 확인할 수 있다. NotePad++를 통해 xml 파일을 만든다. \를 공백으로 변경한다. 비밀번호는 Brutus이다. 2021. 6. 28. [ctf-d.com] DefCoN#21 #3 문제이다. 먼저 와이어샤크를 통해 열어보자. [File] - [Export Object] - [HTTP]를 통해서 mms-message를 사용한 사실을 알게 되었다. 위에서 발견한 패킷의 정보를 바탕으로 TCP Stream을 확인하였다. VID-20130705_145557.mp4 파일을 보냈다는 사실을 알 수 있다. HxD를 통해 열어 앞에 클라이언트의 내용을 삭제한다. HxD란, 디스크 편집기 및 메모리 편집기이다. mp4 헤더 시그니처는 00 00 00 18 66 74 79 70이다. 영상을 확인하면 TOP SECRET이라고 나오면서 DYSENTERY가 나온다. Greg는 전염병으로 사망한다. 2021. 6. 28. [ctf-d.com] DefCoN#21 #2 문제이다. round.pcap를 와이어샤크를 통해 확인한다. [Statistics] - [Conversations] 기능으로 통신 기록을 살펴본다. 1024번 포트로 패킷이 전송된 것을 확인하였다. 1번 문제에서 사용하였던 와이어샤크의 TCP Stream을 통해 살펴보자. 방대한 양의 패킷이 전송되기 때문에 암호화가 되어있다. NetworkMiner 툴을 통해 확인한다. 이 툴은 각 호스트에 대한 단말의 통합적인 정보를 표현해주기 때문에 분석자가 분석하기 매우 편하다. PCAP 확장자 파일에서 전송된 파일 및 인증서를 다시 생성/재구성 한다. Betty가 Greg에게 보낸 편지 내용을 보면 비밀번호가 있다. 비밀번호: S3cr3tVV34pOn 두 번째 메시지를 보면 특별한 내용은 없다. 세 번째 문자를 .. 2021. 6. 27. 이전 1 ··· 12 13 14 15 16 17 18 ··· 34 다음
