본문 바로가기
Forensics/Wargame

one_data_one_zip

by sseddi 2020. 11. 24.
728x90

문제 파일을 열어보면

확장자가 pcapng 인 파일 하나를 얻을 수 있다.

 

바로 pcap 파일로 변환시켜주자

 

그리고 wire shark로 열어주면

 

FTP 천국이다.

 

FTP는 

파일 전송 프로토콜인데 그럼 무슨 파일을 전송했는지 보면 flag를 얻을 수 있을 것 같다.

Follow TCP Stream 해보니까 저기 flag zip파일이 하나 보였다.

통신으로 주고 받은 파일은 저 flag.zip파일 하나로 보인다.

 

FTP로 전달한 내용을 받기 위해서 ftp-data로 검색해서 follow TCP stream 을 하면 

이런 창이 뜨는데 Show and save data as 를 Raw로 선택해주어야 한다.

그리고 Save as를 해서 확장자 zip 파일을 해줬는데 

 

위 사진에서도 볼 수 있듯이 zip 파일 시그니처가 없다...

 

그래서 일단 NetworkMiner로 열어봤는데 

Files도 Images도 없고 Hosts랑 Sessions, Parameters 만 나타나 있다.

 

sessions 보니까 server host 가 나와있었다. 

그래서 와이어 샤크 들어가서 server host가 일치하는 부분에 follow TCP stream 해서

zip 파일을 얻을 수 있었다.

 

근데 얻어낸 zip 파일에는 flag.txt 파일이 들어있었는데, flag.txt 파일에 비밀번호가 걸려있었다.

 

비밀번호 자체를 없애려고 HxD에 넣고 헥스 값을 이리저리 바꿔봤지만

압축데이터가 손상되었다는 메시지가 자꾸 떴다.

 

그래서 

아무래도 비밀번호를 찾아야하는 것 같다.

그래서 사실 비밀번호가 저 qazxsw12! 인 것 같아서 계속 시도해봤지만 아니었고.. 

 

 

john the ripper도 해봤는데

안나와서 마지막에

무차별 대응 공격 툴 써서 password를 얻을 수 있었다.

 

password로 flag.txt 열면 flag가 

 

두둥!

 

+)  FTP 명령어까지 보고 삽질 너무 오래 해서 아쉬웠다..

728x90

댓글