문제 파일을 열어보면
확장자가 pcapng 인 파일 하나를 얻을 수 있다.
바로 pcap 파일로 변환시켜주자
그리고 wire shark로 열어주면
FTP 천국이다.
FTP는
파일 전송 프로토콜인데 그럼 무슨 파일을 전송했는지 보면 flag를 얻을 수 있을 것 같다.
Follow TCP Stream 해보니까 저기 flag zip파일이 하나 보였다.
통신으로 주고 받은 파일은 저 flag.zip파일 하나로 보인다.
FTP로 전달한 내용을 받기 위해서 ftp-data로 검색해서 follow TCP stream 을 하면
이런 창이 뜨는데 Show and save data as 를 Raw로 선택해주어야 한다.
그리고 Save as를 해서 확장자 zip 파일을 해줬는데
위 사진에서도 볼 수 있듯이 zip 파일 시그니처가 없다...
그래서 일단 NetworkMiner로 열어봤는데
Files도 Images도 없고 Hosts랑 Sessions, Parameters 만 나타나 있다.
sessions 보니까 server host 가 나와있었다.
그래서 와이어 샤크 들어가서 server host가 일치하는 부분에 follow TCP stream 해서
zip 파일을 얻을 수 있었다.
근데 얻어낸 zip 파일에는 flag.txt 파일이 들어있었는데, flag.txt 파일에 비밀번호가 걸려있었다.
비밀번호 자체를 없애려고 HxD에 넣고 헥스 값을 이리저리 바꿔봤지만
압축데이터가 손상되었다는 메시지가 자꾸 떴다.
그래서
아무래도 비밀번호를 찾아야하는 것 같다.
그래서 사실 비밀번호가 저 qazxsw12! 인 것 같아서 계속 시도해봤지만 아니었고..
john the ripper도 해봤는데
안나와서 마지막에
무차별 대응 공격 툴 써서 password를 얻을 수 있었다.
password로 flag.txt 열면 flag가
두둥!
+) FTP 명령어까지 보고 삽질 너무 오래 해서 아쉬웠다..
'Forensics > Wargame' 카테고리의 다른 글
[HackCTF] So easy? (0) | 2021.04.01 |
---|---|
[suninatas] Forensic 30 (0) | 2020.12.01 |
[N0Named wargame] [B] 유출된 자료 거래 사건[4] (0) | 2020.11.17 |
[N0Named wargame] [B] 유출된 자료 거래 사건[2] (0) | 2020.11.17 |
[N0Named wargame] [B] 유출된 자료 거래 사건[3] (0) | 2020.11.17 |
댓글