⠀

[문제 풀이] RTP 프로토콜을 통해 전송한 패킷들 발견 Real Time Transport Protocol의 약어로서 인터넷을 통해 오디오 및 비디오를 전달하는 표준 패킷 형식 을 정의 Telephony -> RTP -> RTP Streams 모든 항목을 선택하고 Analyze를 눌러 분석 Play Streams 를 통해 재생 Victoria 가 Gregory를 죽였다는 것을 알 수 있음. Flag: Victoria

[문제 풀이] NetworkMiner로 열고 URL을 찾는 문제이니 www. 로 시작하는 웹 사이트 정렬 계좌와 관련된 사이트 발견 https://www.bankofamerica.com/ Bank of America - Banking, Credit Cards, Loans and Merrill Investing What would you like the power to do? For you and your family, your business and your community. At Bank of America, our purpose is to help make financial lives better through the power of every connection. www.bankofamerica...

[문제 풀이] 총 6개 파일 존재 Extension cer → SSL 인증서 파일 포멧 종류 중 하나 ico → 아이콘 파일 html VirusTotal로 html을 확인한다. https://www.virustotal.com/gui/home/upload VirusTotal Analyse suspicious files and URLs to detect types of malware, automatically share them with the security community www.virustotal.com 악성 파일로 판단 3113 byte Flag: 3113

[문제 풀이] Dump 폴더와 log.txt 파일 존재 log 파일에 따르면 android 와 HUAWEI를 사용하는 것을 확인 위의 덤프 파일은 android 덤프 파일 로그 파일에서 HUAWEI를 사용한다고 했기 때문에 Dump 폴더에 들어가서 HWUserData 로 이동 → DCIM(Digital Camera Image) → Camera 사진 한 장 발견 Flag: DIED

[문제 풀이] NetworkMiner로 열었더니 2개의 메시지 확인 kml로 시작하는 태그 파일 존재 단체가 지도 파일을 통해 비밀번호 전달했다는 사실을 추측할 수 있음. 대화 내역 끝을 확인해보니 메시지가 일부 잘려있음. → 와이어샤크를 통해 데이터 복원 해당 패킷을 TCP stream을 이용해 자세히 살펴봄 requests 부분 전부 복사하여 url 디코딩 https://heavenly-appear.tistory.com/176 [URL 인코더, 디코더] url인코딩, url디코딩 - 바로 변환해드려요! Encoding Decoding 복사버튼은 현재 크롬에서만 지원가능합니다. 안녕하세요. 개인적으로 url인코딩 및 url디코딩을 자주 변환해서 자바스크립트로 기반으로 URL인코더 및 URL디코더를 만들..

File -> Exports Objects -> HTTP를 이용하여 HTTP로 주고받은 파일들을 살펴본다. content Type을 살펴보니 다른 것들은 다 HTML관련인데 390, 408번 패킷만 mms-message이다. 390번 패킷에 가서 확인해보니 프로토콜이 MP4인 것을 볼 수 있다. tcpstream을 통해 자세히 살펴본다. VID_20130705_145557.mp4를 보낸 것을 확인할 수 있다. 이 영상에 flag값이 있을 거라고 추측할 수 있다. 10.92.182.35 -> 66.209.11.32을 선택 후, 해당 파일을 Raw 데이터로 저장하고 Hxd로 파일을 열어본다. 10.92.182.35이 66.209.11.32으로 영상을 보냈기 때문에 반대쪽 conversation은 저장하지 않..

이번에도 필터링 기능을 이용하여 IRC로 통신한 패킷들을 찾아본다. TCP Stream를 통해 자세히 살펴보니 Message to D34thM3rch4nt blocked: Please find another way to transfer your file 라는 메시지를 발견할 수 있다. 해당 패킷인 6080번 주변 패킷들을 살펴보았다. 6083번째 패킷에서 betty!~ 라는 메시지를 볼 수 있다. TCP Stream를 통해 자세히 살펴보니 betty!~secret2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG D34thM3rch4nt :.DCC SEND r3nd3zv0us 2887582002 1024 819200. 라는 메시지를 발견할 수 있다. DCC 프로토콜이란 IRC와 관련된..

와이어샤크를 이용해서 Round1.pcap을 열어본다. 7번 패킷을 살펴보니 Hi Greg:) 라는 데이터가 입력된 것을 볼 수 있으며 이 패킷의 프로토콜은 IRC를 이용한 것을 볼 수 있다. IRC 프로토콜이란 실시간 채팅 프로토콜이며 채팅 데이터가 기록됐을 확률이 높다. IRC로 통신한 기록을 살펴본다. 필터링 기능을 이용하면 172.29.1.50와 46.165.193.136가 IRC 프로토콜을 이용해 통신한 기록을 볼 수 있다. TCP Stream를 통해 자세히 살펴본다. Request: Hi Greg :) Response: Hi Betty Response: what day do you want to meet up? 그 후 상대방의 부재로 인해 핑퐁을 이용하여 여전히 연결되어 있는지 확인하는 핑퐁 ..