[Network] FTP - file upload

 

Download 파일인 pcapng 파일을 확인해 보면 많은 프로토콜 중에서 FTP 가 있는 것을 확인 할 수 있습니다.

(물론 문제 제목에서 FTP 라고 되어 있기 때문에 예상 할 수 있는 내용입니다.)

 

 

ftp 라고 필터링을 해보면 ftp로 통신한 데이터를 확인 할 수 있습니다.

우클릭 - Follow - TCP Stream 를 클릭해 보면 아래와 같이 확인 할 수 있습니다.

 

위의 FTP 내역을 확인해 보면 PORT 설정이 완료된후 "STOR ..........(190404).docx" 라는 문자열을 확인 할 수 있습니다.

또한 바로 아래에 "150 Data connetion established, beginning transfer" 라는 문자열과 "226 Transfer complete"이라는 문자열을 보고 파일 전송이 잘 된것을 확인 할 수 있습니다.

 

저희가 찾아야 하는 데이터는 전송된 파일 명과 해당 파일의 파일내용을 찾는 것이기 때문에 FTP를 이용해서 TCP로 파일을 전송했기 때문에 FTP통신 근처의 TCP 프로토콜을 찾아보면 파일 데이터가 있을 것입니다.

 

tcp.stream eq 2 에 No.110 ~ No.123 까지 존재 하는데 tcp stream 을 확인해 보면 아래와 같습니다.

 

PK 확장자에 파일 내용중 word 라는 폴더가 존재하기 때문에 docx 파일 이라는 것을 알 수 있습니다.

 

파일을 카빙(저장)해서 확인해 보면 아래와 같습니다.

 

파일 내용은 key{s8u9pj5r42qjv63r} 입니다.

 

이제 파일 명을 찾아야 하는데 앞에서 ..........(190404).docx 로 나왔었습니다.

raw 값으로 변경을 해서 해당 hex 값을 문자로 바꿔보면 아래와 같습니다.

 

파일명이 다음과 같이 깨져서 인식이 안된 것이였습니다.

 

파일명이 깨지는 이유는 인코딩 디코딩 방법이 일치 하지 않아서 생기는 현상이므로 어떠한 인코딩 기법이 사용 되었는지 찾아보면

euc-kr 이라는 인코딩 기법이 있습니다.

 

euc-kr 기법으로 디코딩을 해보면 아래와 같습니다.

 

기업비밀자료(190404).docx 라는 파일이였습니다.

 

Flag 형식상 파일명_key{abc..} 이기 때문에 답은 아래와 같습니다.

 

Flag : 기업비밀자료(190404).docx_key{s8u9pj5r42qjv63r}