[Inc0gnito CTF][Forensic] Packet_Forensics

 

해당 바이너리 파일을 열어보겠습니다.

pcapng 파일인 것으로 보아 완벽한 분석을 하기에는 좀 힘들것 같습니다. 

 

NetworkMiner tool을 사용할 것이므로 pcapng -> pcap 확장자로 변경해 보겠습니다.

 

 

 

Wireshark 설치 폴더 하위에 editcap 실행파일을 이용해서 pcapng 확장자를 pcap 확장자로 변환 했습니다.

 

pcap파일을 앞서 말한것 처럼 NetworkMiner에 넣어 보겠습니다.

 

 

479개의 파일과 207개의 Image가 있습니다.

Image에 flag가 있을 것이라 추측하고 확인해 보았으나 flag가 없었습니다.

 

그렇다면 파일로 전송 했을 것이라생각되었습니다.

png 파일은 볼 필요가 없고, cer 확장자는 관련이 없기 때문에 제외하고 확인 하던중 매우 flag스러운 파일이 하나 있습니다.

 

 

key.zip이라고 적으면 되는 것을 굳이 k3y.zip이라.. 매우 flag 스러워서 추출해 보았습니다.

 

문제를 풀때는 k3y.zip 이라고 되어 있었는데 기존의 파일을 삭제하지 않고 다시 Import 해서 위와 같은 상황이 나타난 것 같습니다.

 

2개는 같은 파일 입니다.

 

압축 해제를 해보면 다음과 같은 파일이 있는데 암호가 걸려있습니다.

 

해당 암호는 네트워크 통신으로 전달 했을 가능성이 크다 생각되서 pcap 파일에서 k3y.zip 파일이 전송되는 패킷을 잡았습니다.

 

 

파란색 사각형은 파일의 hex값이고 upload됬다는 것을 알 수 있습니다.

 

그렇다면 아래로 좀만 내려 보겠습니다.

 

아래에 post 방식으로 전달 되는 값들이 있습니다.

url인코딩 된 값들이라서 url 디코딩 하고 깔끔하게 한번 확인해 보겠습니다.

 

zip file password가 있습니다.

한번 압축해제 해보겠습니다.

 

Flag : Network_forensics_Very_Easy!