티스토리 뷰
Codegate 2014 예선전 포렌식 150점 문제 WeirdShark의 Writeup입니다.
다음과 같이 확장자가 제거된 파일을 다운 받았습니다.
우선 내용을 보기위해 EditPlus로 파일을 열어봅니다.
위 내용 중 Dumpcap 1.10.5와 패킷정보가 보이는 것으로 보아 패킷 파일임을 유추할 수 있으며,
사실 위 내용이 아니더라도 문제 이름이나 파일명을 봐도 유추가 가능합니다.
하지만 파일을 열려고 하니 다음과 같은 에러가 발생합니다.
Total block의 길이가 패킷 데이터의 길이(4270407998 byte)보다 작다고 합니다.
오류 내용 중 pcapng라고 보이는 것으로 보아 pcap이 아닌 pcapng 파일이며
NetworkMiner로 열리지 않는 것을 확인했습니다.
PCAP-NG 구조 : http://www.packetinside.com/2013/09/pcap-ng_25.html
WinHex로 해당 블록을 수정해줍니다.
▲ 수정 전
▲ 수정 후
이제 와이어샤크를 통해 파일을 열어보면 에러없이 열리는 것을 볼 수 있습니다.
File - Export Objects - HTTP를 통해 모든 파일을 추출합니다.
위와 같이 모든 파일이 추출되고 의미 없어보이는 파일 중 pdf 파일을 열었습니다.
바로 파일이 열리고 써있는 키 값을 확인할 수 있습니다.
사실 다른 풀이 방법으로 NetworkMiner로 패킷을 열어보려했지만 Pcap이 아닌 Pcapng파일이라 못 열고,
Pcapng to Pacp을 이용해서 변환한 뒤에 Pcapfix도 이용하려 했지만 Pcapfix 윈도우 버전은 에러가 많아
그냥 hex값 수정을 했습니다. :)
Pcapng to Pacp : http://pcapng.com/
Pcapfix : http://f00l.de/pcapfix/
대회 내내 유일하게 하나 푼 문제였는데, 당시에는 pcapfix로 간신히 복구해서 깨진 pdf를 꺼내 어떻게 하다보니 저 플래그 부분의 문자열을 뽑아내서 풀었었습니다.
하지만 지금 풀이를 쓰면서 해보려니 잘 되지도 않고.. 결국 문제 의도에 맞는(?) 풀이법으로 해결했습니다.
'Tech' 카테고리의 다른 글
알툴바 빠른 검색 기록 위치 포렌식 (1114) | 2014.10.11 |
---|---|
Codegate 2014 Quals Reversing 200 WeirdShark writeup (1080) | 2014.04.06 |
Webhacking.kr prob 49 - 300 (1096) | 2014.01.24 |
Bind shell code에서 dup2함수의 역할 (1252) | 2013.11.15 |
해킹 도구들 링크 (1246) | 2013.10.16 |
- Total
- Today
- Yesterday
- DoH
- 프로그래밍
- 문제풀이
- 프로그래밍 언어
- 파이썬
- python
- 자바스크립트
- www
- CODEGATE 2014
- writeup
- BOF
- 해커스쿨
- TISTORY
- 개발
- CloudFlare
- FTZ
- 사이버테러
- 웨일브라우저
- Wargame
- CK Exploit Kit
- Sublime Text 2
- exploit
- 티스토리
- network
- 분석
- 웹
- hackerschool
- 스크립트
- DNSOverHTTPS
- 악성코드
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |