ctf-d network DeFCoN #21 #4

Gregory 엥게 제공된 비밀번호는 무엇일까... 패킷을 분석해보도록 하자...

 

솔직히 패킷을 분석하기 전에 network miner에다가 넣어보는것도 좋은 방법이지만

 

우리는 공부를 하고 있기 때문에 와이어샤크에다가 넣어보도록 하자.

 

 

무수한 패킷들 사이에서 mail.aol.com 이 보인다. 메일로 무언가를 주고받은 흔적이 보인다.

 

단서를 찾았으니 네트워크 마이너로 어떤 내용이 오갔는지 확인해보도록 하자

 

첫번째 메세지

 

두번째 메세지

 

kml 파일이 나왔으니깐 이것을 한번 실행시켜보자!

 

일부러 \ 를 넣은것 같다 모두 바꾸기로 제거해주도록 하자

 

그 후 KML 파일을 열어보도록 하자

 

df.kml로 저장한 후 kml file viewer 를 구글에다가 쳐준 후 가장 첫번째 사이트로 접속한다.

 

에러가 떠서 다른 사이트로 접속했다.. 

 

BRUT 이라고 적혀져있는데 입력해보니 답이 아니였다.

 

방법을 잘 모르겠어서 다른 블로그를 찾아보니 network miner 에서 파일을 복붙하면 짤려서 나온다하니

 

wireshark의 패킷에서 연결해주어야 한다.

 

빨간 동그라미안에 있는 115.xxxxx.....가 이어져 있는것으로 보아 이부분이 빠진것 같다.

 

인코딩이 잘 안되어있는것을 보아하니 URL 디코딩을 해주면 매끄럽게 볼 수 있을것 같다.

 

 

 

디코딩이 잘 완료된 모습이다.

 

network miner로 복사한 파일에는 11701233113042, 로 끝나는걸 보니 이후의 문자를 찾아서 복붙하면 될것이다.

 

이 부분부터 복붙을 해보자

 

여기까지 복사하고 기존 kml 파일에 붙여넣어준 후 다시 kml viewer 사이트에서 파일을 업로드 한다면

 

안짤린 파일이 나오게 될것이다.

 

Brutus 가 정답이다!

 

맨 처음 메모장에서 \을 공백으로 변경할 때 띄어쓰기를 넣어서 문제 해결이 안됬었다. 나처럼 바보같은 실수는 하지말자.....