ctf-d network DefCoN #22 #1

새로운 DefCoN 문제다. 사용자 이름 목록에서 두 번째 이름은 무엇인가를 물어보면서 Hint로 너의 모든 base64는 우리에게 속해있다라고 한다. 뭔가 번역이 잘못된것같다ㅎ

 

아무튼 패킷을 분석해보자.

 

우선 networkminer로 패킷 파일을 살펴보면 3개의 메세지가 있는데 pcap 파일로 문서를 보내는데 그 안에 뭔가 있는것 같다.

 

그렇다면 패킷에서 뭔가를 전송한 프로토콜을 찾아야한다.

 

 

 

그러던 도중 wireshark 에서 SMB라는 프로토콜에서 Documents.zip이라는 파일을 전송한것을 볼 수 있었다.

 

 

SMB(네트워크에 연결된 컴퓨터 사이에 파일, 프린트, 포트, 메세지 등을 전달)

 

그렇다면 Documents.zip 파일을 추출해보도록 하자.

 

save를 눌러 저장해준 뒤 파일 압축을 풀어주면 4가지 폴더와 압축파일 하나가 더 나온다.

 

그 중 깨알 북한국기 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

 

아무튼 문서를 까보자

 

 

Actual Documents 에 있는 GoT spoilers.docx 를 열어보니 딱봐도 맨 뒤에 = 붙은 base64로 인코딩된 문자열이 보인다.

 

이런식으로 decoder에 돌려보면 완전한 문자열이 나오게 된다.

 

위 사진을 보면 다른 파일들도 같은것을 알 수 있다.

 

그 중 trace6 문서를 보면 다음과 같은 문자들이 나온다.

 

2번째 사람이 누군지 물어봤으니 일성킴이 정답이 된다. ㅋㅋㅋㅋㅋ괜히 북한국기가 있는것이 아니였다.

 

flag : Kim Ill-Song