2020. 11. 20. 22:58ㆍ문제연습/CTF-D
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다.
모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.
Network) DefCoN#21 #1
본 네이버 블로그는 모바일 환경에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해...
blog.naver.com
1. 문제 내용
문제 내용을 요약하면, 네트워크 패킷 캡처 내용을 통해 서로가 통신한 내용 중 회의가 예정된 요일을 알아내라는 문제인 듯합니다.
한번 와이어 샤크라는 패킷 분석 프로그램을 이용하여 해당 캡처 파일을 분석해 보도록 하겠습니다.
What is Wire Shark!?)
와이어 샤크의 기능과 사용법은 아래 링크를 이용해 주시길 바랍니다.
패킷 분석 툴, 와이어샤크(WireShark) 사용법 (필터링, 검증, 처음 사용해보는 사람을 위한 안내)
와이어샤크(Wireshark) 와이퍼샤크는 오픈 소스 패킷 분석 프로그램으로 "pcap"을 이용하여 패킷을 잡아내는 것이 주요 기능이다. 윈도우뿐만 아니라 리눅스같은 유닉스 계열의 운영체제에서도 사
jeong-pro.tistory.com
2. 분석
프로토콜과 내용들을 간략히 확인하면서 의심되는 부분을 집중적으로 확인해 보도록 하겠습니다.
초반에 LLDP 프로토콜은 LAN에서 시스템이 서로 구성 및 관리 정보를 교환하는 데 사용되므로 넘어가도록 하겠습니다.
이후 TCP로 IP 46.165.193.136과 172.29.1.55가 3way hand shaking을 통한 연결 설정을 진행한 후 IRC라는 프로토콜을 이용해 172.29.1.50가 46.165.193.136으로 IRC를 이용한 통신 기록이 남아 있었습니다.
irc 프로토콜은 실시간 채팅 프로토콜로 서로 메시지를 주고받을 수 있는 프로토콜입니다.
채팅 관련된 프로토콜이기에 의심되므로 이 프로토콜을 따로 필터 하여 분석해 보도록 하겠습니다.
irc에 대한 더 자세한 내용은 아래 링크를 이용해 주세요.)
인터넷 릴레이 챗 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. IRC는 여기로 연결됩니다. 다른 뜻에 대해서는 IRC (동음이의) 문서를 참조하십시오. 인터넷 릴레이 챗(Internet Relay Chat, 약칭:IRC)은 실시간 채팅 프로토콜로, 여러
ko.wikipedia.org
IRC Protocol Services and Architecture
This blog discusses about the IRC Protocol Services and its Architecture
medium.com
확인해 보니 172.29.1.50과 46.165.193.136이 서로 주고받은 통신 내역이 확인되었습니다.
차례차례 까보도록 하겠습니다.
1)
- 통신 메시지 -
Request: PRIVMSG #S3cr3tSp0t :Hi Greg :)
Response: :D34thM3rch4nt!~blah2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG #S3cr3tSp0t :Hi Betty
Response: :D34thM3rch4nt!~blah2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG #S3cr3tSp0t :what day do you want to meet up?
2)
상대방의 부재(약 3~4분단 답장 x)로 메시지를 보내고 있지 않기에 계속해서 통신 상태를 체크하는 부분입니다.
일명 핑퐁 - 자세한 내용은 아래 링크 참조)
What is Ping and Pong?
Computer dictionary definition of what ping and pong means, including related links, information, and terms.
www.computerhope.com
ping 개념, 사용법
ping 개념, 사용법 PING이란? ping이란? Paket Internet Groper의 약어이며, 컴퓨터 네트워크 상태를 점검, 진단하는 명령이다 ping 명령의 기본적인 작동 원리는 네트워크 상태를 확인하려는 대상(target)
server-talk.tistory.com
3)
이후 답장을 보내는 것으로 추측되는 데이터가 보이는데, 데이터들이 인코딩되어 있는 듯 보입니다.
검색해 보니 16진수(hex) Unicode로 인코딩되어 있으므로 차례대로 메시지를 디코딩 하면 다음과 같습니다.
Request: PRIVMSG #S3cr3tSp0t :How does Wednesday sound?
-> How does Wednesday sound?
Response: :D34thM3rch4nt!~blah2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG #S3cr3tSp0t :Great :) what time?
-> Great :) what time?
Request: PRIVMSG #S3cr3tSp0t :ah 2pm
-> ah 2pm
Response: :D34thM3rch4nt!~blah2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG #S3cr3tSp0t :Ok, I can't wait!
-> Ok, I can't wait!
정리)
|
Greg(jensen의 부인으로 추정)과 Betty 대화 내역 |
|
(Nov 5, 2004 10:36:56) Betty : Hi Greg :) |
따라서 문제의 플래그는 Wednesday입니다.
Clear!!!
'문제연습 > CTF-D' 카테고리의 다른 글
| Multimedia) Graphics Interchange Format (0) | 2020.12.25 |
|---|---|
| Network) DefCoN#21 #2 (0) | 2020.11.30 |
| Multimedia) basics (0) | 2020.11.22 |
| ctf-d) Find Key(moon)_풀이 (0) | 2020.11.14 |
| ctf-d) 계속 주시해라!_풀이 (0) | 2020.11.14 |