Network) DefCoN#21 #4

본 티스토리 블로그는 PC에 최적화되어 있습니다.

모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.

Network) DefCoN#21 #4

 

 

1. 문제 내용

패킷 캡처 파일을 통해 비밀번호를 확인하는 문제인 것 같습니다.

주어진 패킷 파일을 분석해 보도록 하겠습니다.

 

 

2. 분석

주어진 파일의 경우 확인된 패킷 수가 매우 많으며 정확한 통신 IP를 모르는 상태이므로, 우선 netminer라는 프로그램을 이용하여 패킷을 통한 파일을 복구해 보도록 하겠습니다.

여러 파일이 확인되나 message 탭을 통해 Betty와 Greg의 통신 내역을 확인할 수 있었으며, 메시지 통신 중 비밀번호를 주고받은 것으로 확인됩니다.

대화 내역을 확인해 봐도 비밀번호로 추정되는 텍스트가 확인되지 않으나, 한 가지 의심되는 것은 본문 내용을 제외하고 kml로 시작되는 태그 파일이 존재함을 알 수 있습니다.

추출된 Betty의 메세지 내역.txt.txt

0.01MB

 

이 부분에 대한 추가적인 정보를 얻기 위해 kml 파일을 검색해 보니 다음과 같은 정보를 얻을 수 있었습니다.

 

KML은 Google 어스, Google 지도 및 Google 모바일 지도와 같은 어스 브라우저에서 지리 데이터를 표시하는 데 사용되는 파일 형식입니다.
- 위키백과

 

그러나, 대화 내역 끝부분을 보면 온전한 데이터가 아닌 일부가 잘려있습니다.

일부 잘린 데이터를 복원해 보도록 하겠습니다.

 

해당 메시지는 http 통신을 하고 있었으므로 캡처된 http 메시지 중 출발지 or 도착지 ip가 172.29.1.50, 172.29.1.55인 것을 분석해 보면 알아낼 수 있을 것입니다.

(추가적으로 netminer에서 frame 넘버가 7758, 16215임을 이용해 추적해도 정보를 확인할 수 있습니다.)

 

해당 프레임의 패킷을 찾아 follow http stream을 보니 다음과 같은 정보를 확인할 수 있었습니다.

잘린 부분의 데이터를 이어 붙이고 역 슬러시와 문자를 태그에 맞게 수정해 주면 아래와 같이 우리가 찾던 데이터를 확인할 수 있습니다.

asdf.kml.bak

0.01MB

 

 

 

Flag : Brutus