문제
An image was leaked from a babies store. the manager is so annoyed because he needs to identify the image to fire charges against the responsible employee. the key is the md5 of the image
이미지가 유출되었다. 담당 직원을 고소하기 위해서 이미지를 identify해야 한다. image의 md5값을 알아내라
주어진 파일
.pcap 파일
환경
kali
Wireshark
이렇게 계속 패킷을 살펴보다보면, 주고받은 데이터는 다음과 같다.
Hey bro
Sup supp, are we ready
yeah, u got the files?
yes but i think the channel is not secured
the UTM will block the file transfer as the DLP module is active
ok we can use cryptcat
ok what the password then
let it be P@ssawordaya
hhh, ok
listen on 7070 and ill send you the file , bye
bye-> strings ~.pcap으로도 확인할 수 있다.
정리하면,
6이 100에게 파일을 보낼거다. 파일은 cryptcat을 이용해서 비밀번호는 P@ssawordaya로, 포트는 7070으로 보낼거다.
wireshark에서 tcp.port==7070으로 필터링하면 6->100 PSH, ACK 한 패킷을 볼 수 있다.
이렇게 여러 파일이 있는데 먼저 첫 번째 패킷을 오르쪽 클릭 > follow> tcp stream > raw로 저장한다.(파일명 cypted.file)
그리고 터미널 두 개 틀어서
terminal 1) cryptcat -l -k P@ssawordaya -p 7070 > decrypted.file
terminal 2) netcat localhost 7070 < crypted.file
보면 decrypted.file은 jpeg 파일이다.
md5sum decrypted.file이 답이다.
왜 6 -> 100 로 보낸 데이터가 저렇게 많은데 왜 첫 번째 것이 답일까 궁금해서 다음 패킷을 raw로 저장해서 똑같이 해봤더니 똑같은 파일이 나오고, 똑같은 md5 값이 나왔다.
'워게임 > cybertalents' 카테고리의 다른 글
| [forensic] G&P List (0) | 2021.11.22 |
|---|
댓글