Multimedia) splitted

 

 

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다.

모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.

Multimedia) splitted

 

이번 문제는 패킷 캡처 파일을 통해 송수신한 자료를 복원하는 문제입니다.

보다 이해도를 높이고 싶으시면 http 프로토콜에 대해 자세히 알아보면 될 것 같습니다.

이제 본격적으로 문제를 풀어 보도록 하겠습니다.

 

1. 문제 내용

 

2. 분석

 

- 파일 정보(WindowexeFileinfo)

흠, pcap 파일은 예전 네트워크 포렌식 시간에도 보았었던 패킷 캡처 파일입니다.

일단은 WireShark로 열어 보도록 하겠습니다.

 

 

- 패킷 파일 분석(WireShark)

파일을 열어보니 192.168.3.102와 192.168.4.10가 서로 통신한 내역이 나옵니다.

한번 자세히 분석해 보도록 하겠습니다.

 

 

192.168.3.102가 192.168.4.10 쪽으로 flag.zip 파일을 계속해서 요청하고 있는 것 같습니다.

초기에는 head를 통해 헤더 정보만 전송하였고 그 이후에는 206 Partial Content 응답이 돌아왔습니다.

 

즉, flag.zip 파일 요청에 대해 일부만 성공했다는 뜻인데 보통 웹 사이트에서 206 응답이 오는 경우는 파일의 크기가 255mb 이상 넘어가는 대용량 자료를 다운로드하다가 실패한 경우 이런 응답 코드가 돌아옵니다.

 

여기서 한 가지 추측을 하자면, 192.168.3.102가 192.168.4.10으로 flag.zip 파일을 요청했으나 어떤 서버상의 문제로 완전히 전송되지 못하였고 계속해서 다운로드하고 있다.

다시 말해 받은 데이터들을 모으면 우리가 원하는 flag.zip 파일을 복원할 수 있다는 것입니다.

한번 확인해 보도록 하겠습니다.

 

 

아래 사진 데로 들어가서 TCP 통신내역을 분석하도록 하겠습니다.

들어가 보니 다음과 같은 내역이 확인되었습니다.

하나하나 확인하도록 하겠습니다.

 

 

TCP follow stream 정보, head 메서드 정보

서버(192.168.4.10)로부터 flag.zip 파일에 대한 헤더 정보를 받아온 부분입니다.

파일의 크기, 최근 수정 날짜, 파일의 타입 정보를 담고 있습니다.

계속해서 다음 통신 내역을 분석해 보도록 하겠습니다.

 

 

TCP follow stream 정보, 통신 내역

주황색 - 192.168.4.10으로 flag.zip 파일을 요청하고 있습니다. 

 

초록색 - 서버로부터의 응답 결과, 일부만 전송 성공했다는 뜻입니다. 

 

하늘색 - 전체 파일(3745byte) 중에서 2345-2813 순서에 해당하는 파일 정보를 받았다는 뜻입니다.

이 정보를 이용해 파일 수신 순서를 알아낼 수 있습니다.

 

남색 - 받은 파일의 데이터를 보여줍니다.

 

 

위 남색 박스 모두 파일 전송과 관련된 부분이며 통신 내역의 Content-Range를 참고하여 데이터 수신 순서대로 파일을 끼워 맞춰 주기만 하면 우리가 원하는 zip.flag 파일을 얻을 수 있을 것입니다.

 

 

모두 확인한 뒤 파일을 헥스 에디터로 붙인 결과 다음과 같습니다.

- 파일 시그니처

- 파일 푸터

 

이렇게 보면 확인하기가 어려우므로 NetMiner를 통해 확인하면 다음과 같습니다

마치 분할 압축 파일을 다운로드한 것 같습니다.

파일 압축 해제하도록 하겠습니다.

 

psd 파일은 포토샵에서 사용되는 고유 파일 포맷입니다.

현 분석 환경에서 포토샵을 설치하는 것은 불가능하기에 온라인 psd 뷰어를 이용해 파일을 확인해본 결과 플래그를 확인할 수 있었습니다.

 

flag : MMA{sneak_spy_sisters}

 

 

플래그 인증에 성공하였습니다.

이번 문제는 조금 재밌는 문제였습니다.

다음 시간에도 이어서 문제를 풀러보도록 하겠습니다.