network
-
HackTMCTF Write up$ Capture The Flag $ 2020. 2. 6. 00:04
Forensic Strange PCAP 파일을 열어보면 Protocol이 USB로 나와있습니다. USB Protocol 이란? 로컬 컴퓨터와 USB 사이의 통신 내용을 패킷으로 잡을때 사용되는 Protocol 입니다. Info에 다양한 통신 기록이 존재 합니다. 그중에서 데이터를 담을 만한 Info 는 usb.transfer_type이 0x01 인 "URB_INTERRUPT in" 입니다. filter 에서 usb.transfer_type == 0x01 을 입력하면 Info 가 URB_INTERRUPT in 인 패킷만 출력이 되게 됩니다. 그리고 URB_INTERRUPT in 에 데이터를 담기 위해서는 Capture Data 에 들어있습니다. 위와 같이 Leftover Capture Data 에 값이 들..
-
[Network] FTP - file upload$ Wargame $/$ digital forensic $ 2020. 1. 27. 14:11
Download 파일인 pcapng 파일을 확인해 보면 많은 프로토콜 중에서 FTP 가 있는 것을 확인 할 수 있습니다. (물론 문제 제목에서 FTP 라고 되어 있기 때문에 예상 할 수 있는 내용입니다.) ftp 라고 필터링을 해보면 ftp로 통신한 데이터를 확인 할 수 있습니다. 우클릭 - Follow - TCP Stream 를 클릭해 보면 아래와 같이 확인 할 수 있습니다. 위의 FTP 내역을 확인해 보면 PORT 설정이 완료된후 "STOR ..........(190404).docx" 라는 문자열을 확인 할 수 있습니다. 또한 바로 아래에 "150 Data connetion established, beginning transfer" 라는 문자열과 "226 Transfer complete"이라는 문자열..
-
Network - DefCoN#21 #8$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 9. 18. 01:54
패킷을 분석해 보면 다음과 같이 RTP 프로토콜을 이용해서 전송한 패킷을 많이 확인 할 수 있습니다. RTP프로토콜은 실시간으로 멀티미디어(음성, 영상 등)을 송수신할때 사용하는데, 한번 RTP Stream Analysis 를 확인해 보겠습니다. Telephony -> RTP -> Stream ->Analysis Play를 해보면 포렌식 전문가에게 사건을 의뢰했던 Jack과 Victoria가 통화를 하는데 Jack은 Gregory를 죽인 사람으로 Victoria를 지목하고 흥분한 Victoria가 모두를 죽이겠다고 함. Flag : Victoria 출처 : 디지털 포렌식 with CTF
-
Network - DefCoN#21 #7$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 9. 18. 01:52
허위 적인 사이트를 한번 찾아 보겠습니다. 계좌 관련된 URL 이기 때문에 다음과 같은 URL을 찾았습니다. ↓ www.bankofamerica.com 은행 관련 사이트 입니다. 그렇다는 것은 www.bankofamerica.com와 관련된 비슷한 허위 URL 이 있을 것 입니다. bankofamerica.tt.omtrdc.net에 접속한 흔적이 있습니다. 3015 패킷의 TCP dump를 확인해 보겠습니다. Request 데이터를 한번 확인해 보면 다음과 같이 구글에 검색한 흔적이 있습니다. mboxReferrer=http://www.google.com/url?sa=t&rct=j&q=why is my bank of america account not working?&source=web&cd=2&ved=..
-
Network - DefCoN#21 #5$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 9. 18. 01:48
문제 파일을 보면 Dump 파일과 log 파일이 있습니다. log file 을 보면 dump_android.cpp complied라는 문자열을 확인 할 수 있는데 안드로이드 덤프 파일이라는 것을 알 수 있습니다. Dump파일을 분석하던중 Dump\mnt\sdcard 폴더를 찾았습니다 그래서 다음과 같은 경로에서 사진을 찾았습니다. Dump\mnt\sdcard\DCIM\Camera를 확인해보면 다음과 같은 사진이 있습니다. 사람이 쓰러진 사진이 있습니다. Flag : DIED 출처 : 디지털 포렌식 with CTF