Codegate 2014 예선전 포렌식 150점 문제 WeirdShark의 Writeup입니다.

 

 

 

 

 

다음과 같이 확장자가 제거된 파일을 다운 받았습니다.

 

우선 내용을 보기위해 EditPlus로 파일을 열어봅니다.

 

 

위 내용 중 Dumpcap 1.10.5와 패킷정보가 보이는 것으로 보아 패킷 파일임을 유추할 수 있으며,

사실 위 내용이 아니더라도 문제 이름이나 파일명을 봐도 유추가 가능합니다.

 

하지만 파일을 열려고 하니 다음과 같은 에러가 발생합니다.

 

 

Total block의 길이가 패킷 데이터의 길이(4270407998 byte)보다 작다고 합니다.

오류 내용 중 pcapng라고 보이는 것으로 보아 pcap이 아닌 pcapng 파일이며

NetworkMiner로 열리지 않는 것을 확인했습니다.

PCAP-NG 구조 : http://www.packetinside.com/2013/09/pcap-ng_25.html

 

WinHex로 해당 블록을 수정해줍니다.

 

 

▲ 수정 전

 

▲ 수정 후

 

이제 와이어샤크를 통해 파일을 열어보면 에러없이 열리는 것을 볼 수 있습니다.

 

 

File - Export Objects - HTTP를 통해 모든 파일을 추출합니다.
 

 

위와 같이 모든 파일이 추출되고 의미 없어보이는 파일 중 pdf 파일을 열었습니다.

바로 파일이 열리고 써있는 키 값을 확인할 수 있습니다.

 

 

 

 

사실 다른 풀이 방법으로 NetworkMiner로 패킷을 열어보려했지만 Pcap이 아닌 Pcapng파일이라 못 열고,

Pcapng to Pacp을 이용해서 변환한 뒤에 Pcapfix도 이용하려 했지만 Pcapfix 윈도우 버전은 에러가 많아

그냥 hex값 수정을 했습니다. :)

 

Pcapng to Pacp : http://pcapng.com/

Pcapfix : http://f00l.de/pcapfix/

 

대회 내내 유일하게 하나 푼 문제였는데, 당시에는 pcapfix로 간신히 복구해서 깨진 pdf를 꺼내 어떻게 하다보니 저 플래그 부분의 문자열을 뽑아내서 풀었었습니다.

하지만 지금 풀이를 쓰면서 해보려니 잘 되지도 않고.. 결국 문제 의도에 맞는(?) 풀이법으로 해결했습니다.








+ Recent posts

티스토리 툴바