디지털포렌식 with CTF/네트워크 포렌식 (Network) (40) 썸네일형 리스트형 [네트워크 포렌식] DefCoN 21 #5 이번에는 zip 압축파일이 주어집니다. 압축을 풀면 dump 폴더와 log 파일이 주어집니다. log 파일을 보니 안드로이드 로그인 점을 확인할 수 있습니다. 이외에 특별한 단서는 없습니다. dump 폴더로 들어가서 파일 하나씩 분석하다 보면 jpg 확장자를 가진 이미지 파일 하나를 찾을 수 있습니다. 정황상 위 남자가 Greg이고 사망한 것으로 추정됩니다. 위와 같은 방법으로 답을 구할 수 있습니다. [네트워크 포렌식] DefCoN 21 #4 문제에서 round4.pcap 패킷 파일을 줍니다. Betty와 Greg의 대화를 보기 위하여 NetworkMiner 프로그램을 사용하여 패킷을 분석해보겠습니다. 2개의 Message가 발견됩니다. 위치와 패스워드에 대한 이야기와 함께 아래에 kml 형식의 파일 내용이 나옵니다. kml 파일 내용을 vscode로 옮겨 보겠습니다. 곳곳에 위치한 \(역슬래시) 문자 때문에 파일이 잘 인식되지 않습니다. 역슬래시들을 모두 지워보겠습니다. (ctrl + d 기능을 사용하면 같은 글자를 한 번에 선택할 수 있습니다.) 그런 뒤 kml 파일을 kml 뷰어로 확인해 보겠습니다. kml 뷰어로 확인한 결과 해당하는 지역에 Brutus 라는 문자열이 나오는 걸 볼 수 있습니다. 이와 같이 kml 파일로 패스워드를 구할.. [네트워크 포렌식] DefCoN 21 #2 먼저 round2.pcap 패킷 파일이 제공됩니다. 와이어샤크로 열어보겠습니다. conversations 기능으로 통신 기록을 보면, 1024 포트로 패킷이 전송된 걸 확인할 수 있습니다. 이 기록을 분석하기 위하여 Follow Stream 기능을 사용하면, 아래와 같이 암호화된 내용으로 알아볼 수 없습니다. 패킷에 존재하는 파일들을 카빙해서 정렬해주는 NetworkMiner 프로그램을 사용하여 추가적인 정보를 분석해 보겠습니다. NetworkMiner의 Messages 항목을 보면 Betty와 Gregory가 주고받은 메세지가 나옵니다. Greg이 Betty에게 보낸 패스워드입니다. 다른 메세지를 보면 DCC SEND 프로토콜을 사용하여 파일을 전송한 내용이 있습니다. 해석해보면 DCC SEND 방식을.. [네트워크 포렌식] DefCoN 21 #1 문제에서 round1.pcap 패킷 파일 하나를 제공합니다. 이 파일을 와이어샤크로 열어보겠습니다. 패킷을 확인해보면 17번 패킷이 IRC 프로토콜으로 통신한 것을 확인할 수 있습니다. IRC 프로토콜 특성상 채팅 데이터가 기록될 확률이 높습니다. 자세한 내용 분석을 위하여 TCP Stream을 Follow 해보겠습니다. Betty와 Gregory가 대화한 내용이 남아있습니다. 아래의 문자열들은 16진수 값으로 되어 있고 1바이트마다 특수문자를 사용한 점으로 보아 HTML 인코딩 방식을 사용했다고 생각됩니다. 아래 문자열들을 html decoder를 통해 복호화해보겠습니다. 복호화를 하니 추가적인 정보를 얻을 수 있습니다. [네트워크 포렌식] 때로는 정답이 바로 나타나지만… 문제 파일의 압축을 풀면 no-blg-deal.pcap 패킷 파일이 나옵니다. 와이어샤크로 열어보겠습니다. 그리고 conversations 기능을 사용하여 통신 기록을 확인하여 보겠습니다. 잘 사용하지 않는 포트 번호가 확인됩니다. 분석을 위해 Follow Stream 기능을 사용해 보겠습니다. Stream을 보다 보면 위와 같이 base64로 인코딩된 문자열을 확인할 수 있습니다. base64 decoder를 통해 디코딩을 해보겠습니다. 디코딩을 진행하니 flag값을 확인할 수 있었습니다. [네트워크 포렌식] 당신이 플래그를 찾을 수 있을까? 문제에서 irc.pcap 파일을 하나 줍니다. 이 파일을 와이어샤크로 열어보겠습니다. 그리고 와이어샤크의 conversations 기능으로 주고받은 통신 기록을 확인하여 보겠습니다. 포트를 확인해 보면 악성코드에서 많이 쓰이는 31337포트를 이용한 것을 확인할 수 있습니다. 이 패킷을 Follow Stream 기능으로 분석해보면, 통신한 내용을 확인할 수 있습니다. 위 부분에서 flag를 확인할 수 있습니다. [네트워크 포렌식] 우리는 의심스러운 네트워크 … 문제에서 ispy.pcapng 패킷 캡쳐 파일이 하나 주어집니다. 와이어샤크로 파일을 열어보겠습니다. 패킷을 분석하기 위하여 conversations 기능을 사용하여 연결 정보와 내용을 분석해 보겠습니다. Bytes의 크기가 유독 큰 부분이 보입니다. 이 부분을 Follow Stream 기능을 사용하여 살펴보겠습니다. Stream에 보면 Drawing.png라는 파일이 보입니다. 해당 파일이 전송된 포트가 80번이므로 웹으로 교환되었다고 추측할 수 있습니다. Export Objects 기능으로 송수신한 파일 목록을 확인해 보겠습니다. 149번 패킷을 보면 아까 Stream에서 확인한 Drawing.jpg 파일이 존재합니다. 이 파일을 저장한 뒤 열어보겠습니다. Drawing.jpg를 열면 위 그림과 같이.. [네트워크 포렌식] 당신은 캡처 파일에서 플래그를 찾을수 있는가? 문제에서 pcap 패킷 파일 하나가 주어집니다. 이를 와이어샤크로 열어보겠습니다. 위와 같이 TCP 프로토콜을 사용하여 통신한다는 점을 확인할 수 있습니다. 와이어샤크의 conversations 기능을 사용하여 패킷을 확인하여 보겠습니다. 위와 같이 하나의 stream이 존재합니다. Follow Stream 기능을 사용하여 자세히 분석해 보겠습니다. Follow Stream 기능을 사용하면 위와 같이 FLAG 값이 나오게 됩니다. [네트워크 포렌식] lol team이라는 의심스러운 팀이 있습니다. 문제에서 lolteam.pcapng라는 패킷 캡쳐 파일이 하나 주어집니다. 이를 와이어샤크로 열어보겠습니다. 위와 같이 8개의 패킷이 캡쳐되어 있습니다. 자세한 분석을 위해 TCP Stream으로 열어보겠습니다. TCP Stream에서는 위와 같은 내용이 나옵니다. Referer 항목을 보면 http://2014.easyctf.com/account 링크로 HTTP POST 요청을 하고 있음을 확인할 수 있습니다. 쿠키 아래에 문자열을 보면 password=flag~로 나와있는 부분도 보입니다. 추가적인 정보를 위하여 HTTP 프로토콜의 패킷을 분석해 보겠습니다. 4번 패킷인 HTTP 프로토콜을 분석해보면 password 값의 value를 구할 수 있습니다. [네트워크 포렌식] woodstock-1 문제에서 ws1_2.pcapng라는 패킷 캡쳐 파일 하나를 줍니다. 이 파일을 와이어샤크를 통해 확인해 보겠습니다. 위와 같이 TCP 프로토콜을 사용하여 데이터를 주고받은 점을 확인할 수 있습니다. 주고받은 데이터를 확인하기 위하여 첫 번째 패킷을 선택하고 TCP Stream을 확인해 보겠습니다. TCP Stream에서 정답에 해당하는 KEY 값을 찾을 수 있었습니다. 이전 1 2 3 4 다음