Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest
Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company�
forensicscontest.com
제공받은 문제 파일을 wireshark로 열어서 statistics > conversation 으로 들어가면 TCP 패킷을 7개 볼 수 있다.
그 중 eq 2 패킷에서 문제 1~3번의 답을 바로 찾을 수 있다.
1. What is the name of Ann’s IM buddy? Sec558user1
2. What was the first comment in the captured IM conversation?
Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
3. What is the name of the file Ann transferred? recipe.docx
4번 문제는 recipe.docx 파일의 매직 넘버를 구해야 한다. docx 파일의 매직 넘버는 0x504B0304이다.
4. What is the magic number of the file you want to extract (first four bytes)? 50 4B 03 04
eq 5 패킷에서 직접 확인할 수 있다.
5. What was the MD5sum of the file? 8350582774E1D4DBE1D61D64C89E0EA1
5번 문제는 recipe.docx 파일의 MD5 값을 구하는 것으로, 패킷에서 파일을 추출하거나 툴을 이용하면 된다.
NetworkMiner에서 recipe.docx를 바로 추출하거나
eq 5 패킷에서, 아래처럼 파일 부분만 선택될 수 있게 설정 하고, Raw 데이터로 저장하면 된다.
패킷에서 추출한 파일을 바로 열면 제대로 열리지 않는다. 파일 부분 + 다른 부분이 껴있기 때문이다. HxD에서 해당 부분을 지워줄 것이다.
이렇게 50 4B 03 04~ 로 시작할 수 있게 저장한다.
파일이 정상적으로 열리는 것을 확인하고 MD5Cheker를 통해 값을 얻는다.
6. What is the secret recipe
recipe.docx 파일을 열면 아래 내용을 확인할 수 있다.
'Wargame > LMG' 카테고리의 다른 글
| Puzzle #2: Ann Skips Bail (0) | 2020.09.02 |
|---|