* 문제를 1, 4, 5, 2, 3 순서로 풀이했음을 참고.
L1
Q. ARP_Spoofing에 의해서 나의 아이디와 패스워드가 유출되다!
EQ. ID and Password of mine were leaked by ARP Spoofing!
** key is AttackerMacaddress_VictimPassword
ARP 스푸핑을 위해서는 공격자의 PC에서 ARP를 브로드캐스팅해야 한다.
공격자를 찾아내기 위해 우선 필터로 arp를 필터링해보았다.
공격자의 정보는 192.168.232.131로 확인할 수 있고, MAC 주소는 00:0c:29:f3:21:ad이다.
알아낸 MAC 주소로 필터링을 해봤다.
HTTP를 살펴보면 POST 방식으로 로그인을 시도한 것을 확인할 수 있다. (파란줄)
더블클릭으로 정보를 확인하여 키 값이 YONG_GAL임을 알아냈다.
Key: 00:0c:29:f3:21:ad_YONG_GAL
L2
Q. 남자들이 뼛속까지 좋아하는 여자는 누구? DNA 연구 결과가 발표 되었다. 바코드를 찾아라!
EQ. Who’s the girl loved of man’s bones? It’s released the result of DNA. Find the Barcode!
추출한 파일에서 dna를 검색한 결과 다음과 같은 바코드 이미지를 찾을 수 있었다.
이 파일을 바코드 리더로 읽은 결과는 아래와 같다.
Key: IU Good
L3
Q. 화창한 봄날 G 마켓에 코드가 삽입됐다.
EQ. Spring, A code injected in G-market.
Hint. VB, URI contains /gmk/
추출한 데이터 내에서 *spring을 검색해보았다.
위와 같이 css와 js 파일이 보인다.
js파일을 확인해보았다.
getflashPlayerHTML 함수가 의심스러워서 자세히 살펴보니 17번째 줄에 무언가 인코딩 되어있는 것을 확인할 수 있다.
*base64: 8비트 이진 데이터를 ASCII 텍스트로 바꾸는 인코딩 방법.
디코딩을 위해 일단 해당 함수만 잘라서 encode.txt 파일로 저장했다.
그리고 툴(scrdec18.exe)을 이용해 디코딩하여 decode.txt 파일로 저장했다.
decode.txt 파일을 확인해보았다.
이 부분만 유니코드로 변환했다.
무슨 뜻인지 모르겠지만.. SUd0bGVTQTlJSGRsWDJGeVpWOTBhR1ZmWm5WMGRYSmw=이 반복되는 패턴이다.
이것을 디코딩하니 아래와 같은 결과가 나왔다.
여전히 무슨 뜻인지 모르겠어서.. 한번 더 디코딩했다.
key가 보인다!
Key: we_are_the_future
L4
Q. 우탱아, 가을인데 단풍놀이 가야지~ 어디로 갈까?
EQ. Wootang, Let’s go to see the maple leaves~ it’s Autumn! where is it?
HINT :: The key of L1 is in the image file. 51B0
문제에서 '어디로 갈까?' 부분이 영문과 달라 string 검색으로 'where'를 찾아보았다.
Where_is_it.jpg 파일이 보인다.
이 파일을 확인하기 위해 Export objects - HTTP로 추출한 뒤 Where_is_it.jpg 파일을 검색했다.
위와 같이 이미지 파일이 있는 것을 볼 수 있다.
코멘트 부분에 key가 나와있다.
Key: hallasan
L5
Q. 악성 다운로더
EQ. Malware Downloader
추출한 파일 중 .exe 파일을 검색하니 noexe.exe라는 파일이 있다.
이 파일을 pcap 파일에서 찾아 follow-TCP로 확인해보았다.
답을 찾을 수 있었다.
Key: HTP_Forever@^^@~~
'FORENSIC > 문제 풀이' 카테고리의 다른 글
| [OtterCTF 2018] 문제 1~6 풀이 (0) | 2021.06.23 |
|---|