Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest
After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town. “We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the pol
문제 파일을 열고 Statistics > Conversations에서 TCP 패킷을 볼 수 있다.
여기서 보이는 두 번째 패킷, eq 1에서 1번부터 5번까지의 답을 바로 찾을 수 있다.
1. What is Ann’s email address? sneakyg33k@aol.com
위 패킷에서 바로 보인다.
AUTH LOGIN 밑의 문자열을 Base64로 디코딩해도 똑같은 이메일이 나온다.
2. What is Ann’s email password? 558r00lz
위에서 찾은 패킷, 이메일 바로 밑에 비밀번호로 보이는 문자열이 있다.
역시 Base64 디코딩해서 얻을 수 있다.
3. What is Ann’s secret lover’s email address? mistersecretx@aol.com
같은 패킷, 밑으로 내리면 바로 보인다.
4. What two items did Ann tell her secret lover to bring? fake passport and a bathing suit
5. What is the NAME of the attachment Ann sent to her secret lover? secretrendezvous.docx
6. What is the MD5sum of the attachment Ann sent to her secret lover? 9e423e11db88f01bbff81172839e1923
NetworkMiner 에서 추출한 MD5 값이다.
파일 별로 우클릭하면 볼 수 있다.
7. In what CITY and COUNTRY is their rendez-vous point? Playa del Carmen, MEXICO
위에서 바로 추출해서 열면 된다.
지도 사진이 나와서 바로 도시, 나라를 알 수 있다.
8. What is the MD5sum of the image embedded in the document? E3001A972E718AEBB75BA070B1E5434C
처음에는 파일을 열어서 png 파일을 따로 저장했다.
그렇게 하면, E3001A972E718AEBB75BA070B1E5434C <- 이 값이 나온다.
그런데 답이랑 달랐다.. 알고 보니 docx 파일의 확장자를 zip으로 바꾼 후에
압축을 풀어 media 파일에 들어가야 했다. 그러면 원본 사진 파일을 얻을 수 있다.
AADEACE50997B1BA24B09AC2EF1940B7 <- 이게 정답!
'Wargame > LMG' 카테고리의 다른 글
Puzzle #1: Ann’s Bad AIM (0) | 2020.09.02 |