[Network] Sans Network Forensic [Puzzle 7]

무선랜이다. 

무선랜의 경우, 보통 패킷이 암호화되어있기 때문에 aircrack-ng를 사용한다.

 

[*] aircrack-ng

무선랜 패킷 파일에 대한 종합 분석 도구

monitoring/ attacking/ testing/ cracking 등 다양한 기능이 있다.

분석.. 만 해주는 것 같고

암호 키를 알았으니, 이제 복호화하면 된다. 

 

airdecap-ng.exe -w 4A:7D:B5:08:CD evidence-defcon2010.pcap

복호화 - "airdecap-ng.exe"

 

복호화된 pcap 파일 생성

 

IMAP는 메일 프로토콜 아닝교! 바로 follow tcp stream

base64 디코딩하려고 보니까 missing in capture file.... 현재 패킷을 통해서는 첨부 파일 복원을 할 수 없다. 

 

SMTP도 확인해본다.

follow tcp stream해보니까 이번에는 missing없이 base64된 값 확인할 수 있다.

디코딩해보니까 GIF89a라고 뜨는 것 보니까 gif 파일인 것 같다. 

hxd로 직접 하는거 귀찮으니까 base64 decode image 구글링

다음과 같은 이미지를 얻을 수 있다. 

 

App Store - App Name

느낌상 tem = solitaire

solitaire

---

Podcast Title

ONION RADIO NEWS

---

Youtube Video Title

networkMiner

Cry For Help - Rick Astley

---

Google Earth City Name

Hacker Valley, WV 26288

---

AIM Buddy Name

이 부분은 명확하지 않다. 

 

우선 aim buddy 검색해본다. 버디버디같은 느낌이다...

k가 buddy name이 아닐까 예측으로 해결한다. 

ip1NaUEi7G7o_OHY

 

 

 

 

첫 글자만 따면 sochi