[Round2]
DEFCON 2013 Network Forensics Puzzle Contest: Track Star
Betty attempts to keep her tracks covered as she establishes a meeting location with Gregory.
Use the Round 2 packet capture in this folder to answer the following question:
1. What city are they meeting?
MD5 CHECKSUM:
round2.pcap:
7d0273b7e867f90feb80ce31fe077c90
Remember:
You must answer the question in this round, in order to unlock the next round of the contest.
Copyright 2013 LMG Security. All rights reserved.
해당 패킷을 분석해보자. network miner로 분석해보면,
password가 S3cr3tVV34p0n 인 것을 확인할 수 있다.
후에 보낸 것은 IRC 프로토콜을 사용하고 있다. DCC ( Direct Client-to-Client ) 라는 것은 IRC와 관련된 하위 프로토콜로써 파일교환에 이용된다.
DCC SEND를 찾아보면
로 사용됨을 알 수 있다.
위 패킷의
DCC SEND r3nd3zv0us 2887582002 1024 819200
에서 1024 포트를 사용하고, 819200의 파일 사이즈를 가지고 있다라는 것을 알 수 있다.
패킷을 찾고 파일을 추출하면
이런 파일을 구할 수 있다. truecrypt를 이용해서 파일을 열어보자. ( TrueCrypt 라는 프로그램은 가상공간 속에 파일을 저장하여 파일을 못 찾게 만드는 안티 포렌식 도구이다.)
아까 구한 패스워드를 치고 OK를 하면 해당 영역이 마운트되어
숨겨진 영역을 볼 수 있다. ㅎ 둘이 만나기로 한 도시는 LAS VEGAS 이다.
피드백 : 네트워크 마이너로 발견한 메세지를 와이어샤크로 찾지 못 했음. 추후 알아내기를 요함. 어떻게 tc파일이라는 결론이 나왔는지도 모르겠슴. 그냥 힌트로 풀었음.
'Write-up' 카테고리의 다른 글
| [DCTF 2017] No that kind of network writeup (0) | 2017.10.02 |
|---|---|
| [DCTF 2017] A thousand words writeup (0) | 2017.10.02 |
| [DCTF 2017] Inception writeup (0) | 2017.10.02 |
| [CSAW 2017] Missed Registration writeup (0) | 2017.10.02 |
| [Defcon 21 Network Forensics Puzzle Contest] Round1 writeup (0) | 2017.09.20 |