디지털포렌식 with CTF (91) 썸네일형 리스트형 [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #8 #1번 문제의 evidence03.pcap 패킷 파일을 사용하겠습니다. 마지막으로 검색한 내용을 묻고 있습니다. 와이어샤크로 패킷 파일을 열어 보겠습니다. #3번 문제에서 했던 것처럼 incremental 문자열로 검색해 보겠습니다. 가장 아래로 내려가면 iknowyourewatchingme 라는 문자열을 얻을 수 있습니다. 이와 같은 방법으로 #8번의 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #7 #1번의 evidence03.pcap 패킷 파일을 사용하겠습니다. 가격이 price-display 항목에 정의되어 있다고 하니 #5번과 마찬가지로 xml 파일에서 검색해 보겠습니다. price-display로 검색해보면 9.99달러라고 나옵니다. 위와 같은 방법으로 #7번의 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #6 #1번에서 주어진 evidence03.pcap 패킷 파일을 사용하겠습니다. 와이어샤크로 패킷 파일을 열겠습니다. #6번 또한 #4번과 마찬가지로 HTTP 200 OK 패킷을 찾아서 xml 소스코드를 분석해 보겠습니다. title이 Sneakers라고 되어 있습니다. 이렇게 #6번의 정답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #5 #1번 문제에서 주어진 evidence03.pcap 패킷 파일을 사용합니다. 영화 예고편의 전체 URL을 묻고 있습니다. preview-url이라고 정의되어 있다고 합니다. #4번에서 구했던 xml 소스코드에 preview-url이라고 key 태그를 사용하여 정의되어 있습니다. 위와 같은 방법으로 5번의 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #4 #1번 문제에서 제공된 evidence03.pcap 패킷 파일을 사용합니다. Ann이 클릭한 첫 영화의 제목을 묻고 있습니다. 와이어샤크로 패킷 파일을 열어보겠습니다. #3번 문제에서 Ann은 h, ha, hac, hack 순서로 검색을 하였습니다. 사건의 흐름 상 검색을 한 후에 클릭을 하였을 것이므로 와이어샤크에서 hack 문자열으로 검색해봅니다. Hackers라는 영화가 나오게 됩니다. 이렇게 Ann이 클릭한 영화의 제목을 알 수 있습니다. 또한 HTTP 200 OK 패킷은 GET 요청에 의하여 발생하게 되고, 단어 검색에 대한 관련 데이터를 요청하는 GET 요청으로 200 OK 패킷이 응답되었습니다. 그러므로 Ann이 hack을 검색한 이후 GET 요청에 의한 HTTP 200 OK 패킷을 통하여 .. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #3 #1번 문제에서 제공받은 evidence3.pcap 패킷 파일을 사용합니다. Ann의 관심사에 대한 정보, 즉 Ann이 검색한 최근 4개의 검색 내용을 알아보아야 합니다. 우선 패킷 파일을 와이어샤크로 열어보겠습니다. 와이어샤크 필터 기능을 통해 GET 방식을 사용한 HTTP 패킷들을 정렬하여 찾아보겠습니다. 위와 같이 http.request.method == "GET" 으로 필터링하면 필터 기능을 적용할 수 있습니다. 문제 원본에서 'incremental searches'라고 하였으므로 'incremental'이라는 문자열을 찾아보도록 하겠습니다. ctrl + f 검색 기능으로 incremental을 검색하고, 가장 아래서부터 URL을 찾아보겠습니다. URL을 보면 h, ha, hac, hack 순서로.. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #2 1번 문제의 패킷을 사용하고, Apple TV의 HTTP 패킷을 확인해야 합니다. 그러믈 Apple TV의 IP 주소에 해당하는 HTTP 패킷을 확인해 보겠습니다. 가장 위에 있는 HTTP 패킷인 6번 패킷의 TCP Stream을 분석해 보겠습니다. TCP Stream에서 User-Agent 정보를 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #1 문제에서 evidence03.pcap 패킷 파일 하나를 줍니다. 와이어샤크로 열어보겠습니다. 문제에서 Ann이 192.168.1.10 주소를 사용한다고 했으므로, 패킷의 Source가 192.168.1.10인 패킷을 보면 됩니다. 위와 같이 Apple TV의 맥 주소를 구할 수 있습니다. [네트워크 포렌식] DefCoN 22 #4 이번에는 TwueLub.pcap 패킷 파일 하나가 주어집니다. 패킷 파일에는 위와 같이 STUN 프로토콜이 많이 보였습니다. STUN 프로토콜 하나를 지정하고 Follow UDP Stream 기능을 사용해 보겠습니다. 쭉 내리다보니 ip 주소와 함께 문자열이 나왔습니다. 힌트에서 @이 장치 이름과 사용되는 기호라고 했으니 위의 문자열이 flag가 될 것 같습니다. [네트워크 포렌식] DefCoN 22 #2 이번에는 FIFA22.pcap 패킷 파일을 줍니다. 와이어샤크로 패킷 파일을 열어보겠습니다. 패킷을 열어 보면 IRC 프로토콜로 송수신하는 것을 확인할 수 있습니다. IRC 패킷에서 Follow TCP Stream 기능을 사용해 보겠습니다. 위 사진과 같이 대화가 모두 암호화되어 있는 것을 확인할 수 있습니다. 하나하나 복호화를 진행하다 보면 위와 같은 base32로 암호화된 문자가 나오고, 또 이를 복호화하면 또 암호화된 문자가 나옵니다. 문자가 32개이므로 MD5로 암호화되었다고 추측할 수 있습니다. 위 문자열을 복호화하면 Caracas라는 도시가 나옵니다. 이렇게 답을 구할 수 있었습니다. 이전 1 2 3 4 5 6 7 8 ··· 10 다음
