2020. 11. 30. 20:59ㆍ문제연습/CTF-D
본 티스토리 블로그는 PC에 최적화되어 있습니다.
모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.
Network) DefCoN#21 #2
본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세요...
blog.naver.com
이번 문제는 조금 헷갈리는 부분도 많았고 환경적인 제약 때문에 완전한 풀이를 만들지 못한 점 양해 부탁드립니다.
1. 문제 내용
패킷 캡처 파일을 이용하여 해당 대화 내역을 알아내야 할 듯합니다.
2. 분석
의심패킷1)
현재 172.29.1.55가 구글 맵스, 이메일에 접근한 기록이 확인되었습니다.
일단 이 부분을 체크하고 다음으로 넘어가도록 하겠습니다.
의심패킷2)
방금 전에 확인했었던 IRC 프로토콜 통신내역이 확인되었습니다.
의심 아이피 172.29.1.50, 94.23.157.150을 집중적으로 봐야 될 듯합니다.
의심패킷3)
아까 의심되었던 두 아이피가 서로 암호화 통신을 하는 부분이 확인되었습니다.
- ip.addr == 94.23.157.150
|
IRC 프로토콜 통신내역 |
|
*(172.29.1.50) D34thM3rch4nt :DCC Send r3nd3zv0us *(94.23.157.150) betty :Message to D34thM3rch4nt blocked: Please find another way to transfer your file |
D34thM3rch4nt -> betty 쪽으로 Send r3nd3zv0us 메시지를 보낸 이후 blocked: Please find another way to transfer your file 응답을 받았습니다.
즉, 다른 방식으로 통신을 시도한다는 것입니다.
2004 04:31:54 시간 이후로 캡처된 통신 내역을 확인해보도록 하겠습니다.
통신 내역 :
ÍÂäTuкR*EÏ@6aÍÆ2i¬7XjUcùï¥PÃ:betty!~secret2@7FF07A37.29E7D414.B9027CEB.IP PRIVMSG
D34thM3rch4nt :DCC SEND r3nd3zv0us 2887582002 1024 819200
TCP로 통신을 했는데, :DCC SEND ~ 와 같이 알 수 없는 데이터가 존재합니다.
아까도 :DCC SEND ~ 가 존재했는데 이 부분이 해석하기 힘들어 검색했더니 다음과 같은 내용이 확인되었습니다.
Direct Client-to-Client - Wikipedia
Direct Client-to-Client (DCC) (originally Direct Client Connection[1][2][3]) is an IRC-related sub-protocol enabling peers to interconnect using an IRC server for handshaking in order to exchange files or perform non-relayed chats. Once established, a typi
en.wikipedia.org
dcc 방식 프로토콜에서 상대가 파일을 보낼 경우 아래와 같은 형식을 가진다고 합니다.
DCC SEND <filename> <ip> <port> <file size>
이를 위의 내용과 매칭하면 다음과 같습니다.
|
DCC SEND <filename> <ip> <port> <file size> |
|
DCC SEND r3nd3zv0us 2887582002 1024 819200 |
즉, 198.50.159.105가 betty로 추정되는 172.29.1.55 IP에게 r3nd3zv0us라는 819200크기의 파일을 보냈다고 말할 수 있습니다.
일단 현재까지의 진행 상황을 정리하도록 하겠습니다.
1. 172.29.1.50(Gregory로 추정)가 94.23.157.150(betty로 추정)로 파일을 전송하려고 하였으나 실패함.
2. 이후 198.50.159.105(Gregory로 추정)가 172.29.1.55로 TCP 방식으로 어떠한 파일을 보냄.
아까 의심 패킷과 위 내용을 종합하자면, 현재 Gregory와 betty는 처음에 이메일로 어떠한 내용을 주고받았을 것이며 이후 Gregory가 betty로 r3nd3zv0us라는 파일을 보냈다는 것입니다,
이 추측 시나리오를 토대로 분석해 보도록 하겠습니다.
일단 pcap 파일을 Networkminer로 열어서 메시지를 보면 다음과 같습니다.
메시지 내역)
메시지 내용)
주고받은 내용을 확인할 수 있으며 wireshark를 이용하여 서로 주고받은 파일을 확인해야 합니다.
역시 해당 파일에 시그니처는 없고 암호화가 된 것 같습니다.
인터넷을 뒤져보니 TrueCrypt 방식을 찾았습니다. (파일의 헤더 구조나 시그니처가 보이지 않아서 TrueCrypt 방식이라고 추측하였습니다.)
위 메일에서 주고받은 내용 중 복호키로 확인되는 S3cr3tVV34pOn를 이용하여 한번 복호화 해보도록 하겠습니다.
컴퓨터의 제약으로 파티션 만드는 게 불가능한데, 이것 때문에 복호화가 되질 않습니다.
아래 링크를 눌러 문제의 결말을 확인해 주세요....
Network - DefCoN#21 #2
문제를 확인해 보겠습니다. 많은양의 통신 정보가 있습니다. 많은 양의 패킷이 이동된 포트를 확인해 보겠습니다. 1024포트에 방대한 양의 패킷이 오고가기 때문에 TCP Stream를 보면 암호화가 당연
whitesnake1004.tistory.com
'문제연습 > CTF-D' 카테고리의 다른 글
| Multimedia) splitted (0) | 2020.12.26 |
|---|---|
| Multimedia) Graphics Interchange Format (0) | 2020.12.25 |
| Multimedia) basics (0) | 2020.11.22 |
| Network) DefCoN#21 #1 (0) | 2020.11.20 |
| ctf-d) Find Key(moon)_풀이 (0) | 2020.11.14 |