[31기 스터디] 포렌식 3주차 문제풀이 (수업용)

1. [xcz.kr] Prob17 - wireshark

 

패스워드 찾기 문제. 아이디와 사이트 알려줌

 

wireshark 에 띄우기 

 

cmd에서 해당 사이트의 ip주소를 알아냈다.

 

패킷 필터링- 해당 사이트와 연관된 정보만!

 

http (이런 웹사이트 데이터는 주로 http 에서 확인) 필터링 

 

join.ok 인 패킷들 세부내용 검토 (패킷 클릭)

 

비밀번호 발견 성공 

 

tcp 스트림에서 join success 메세지까지 확인가능

 

 

- 지름길 (필터링X)

 

--------------------------------------------------------------------------------------------------------------

 

2. network_png (파일 복구 문제/ flag 찾기) - network miner, wireshark 

 

- network miner

png 형식의 문제 파일은 그대로는 넣을 수 없음->   pcap 형식으로 변환하여 올렸다.

image 파트에 treasure1.png만 있음! 

 

treasure1 이니 다른 treasure가 있는지 File 부분을 살펴보다가 텍스트 파일 형식의 treasure2, treasure3도 발견

 

그래서 이들의 위치를 확인(open folder 옵션) 해보니 같은 곳에 들어있었고, 수상하니 HxD에 올려보았다.

 

그런데 이상한 점이 treasure1의 확장자는 png인데 해당하는 헤더 시그니처만 있고 푸터 시그니처가 없었다.

 

treaure2, treasure3도 확인해보니 2에는 거의 대부분이 00 이었고

3은 자세히 보니 푸터가 png 확장자의 푸터 시그니처인 49 45 4E 44 AE 42 60 82 였다. 

 

그래서 treasure1에 treasure2, 3을 쭉 이어붙여주었다. 

 

따로 저장해서 열어보면 위와 같은 문자열 이미지가 나옴 (= FLAG)

 

 

 

- wireshark

두번째로 wireshark에도 문제파일을 올려보았다. export objects에서 HTTP 리스트를 보니 treasure1, 2, 3이 바로 보였다. 각 파일들을 저장만 하면 miner 툴 사용 때랑 과정이 동일하기 때문에 여기서 멈추도록 하겠다.