[ctf-d Network] DefCoN#21 #2

Betty와 Gregory가 만나기로 한 도시를 찾는 문제다. 문제 패킷을 Network Miner에 넣어보자. 이 곳에서 총 3개의 메시지를 확인할 수 있다.

(1) 만나기로 한 수요일에 Betty가 노쇼했나 보다. 그리고 친구 없이 단 둘이서만 만나자고 하며 '그 곳'에 대한 비밀번호를 보낸다.

- PW: S3cr3tVV34p0n

- Betty's mail: betty_swindoll@aol.com

- Greg's mail: d34thm3rch4nt@aol.com

(2) 별 내용없다. 그냥 Greg도 가겠다고 한다.

(3) 마지막 메시지를 푸는 것이 문제의 해답이 될 것이다. 'PRIVMSG'라는 명령어와 파라미터로 보아 [PRIVMSG D34thM3rch4nt
DCC SEND r3nd3zv0us 2887582002 1024 819200
]가 의미하는 것을 아는 것이 중요할 것이다.

우리에게 주어진 두 번째 파라미터의 형식을 보면, 'DCC SEND ~'로 시작한다. 이에 대해 조사를 시작했다.

IRC: Internet Relay Chat, 인터넷 채팅 프로토콜. 디코 등장 이후로 몰락했다고 한다...

DCC: IRC에서 쓰이는 하위 프로토콜로 '파일 전송'에 쓰임

그리고 아래 위키에서 DCC SEND에 관한 형식도 찾을 수 있었다.

Direct Client-to-Client - Wikipedia

즉, 두 번째 파라미터인 '
DCC SEND r3nd3zv0us 2887582002 1024 819200
'의 의미는 아래와 같다.

• File Name: r3nd3zv0us
• IP: 2887582002 = 172.29.1.50 (dec to IP)
• Port: 1024
• Size: 819200 = 819.2 KB (B to KB)

그럼 이 조건에 맞는 패킷을 찾아보자. 일단 Network Miner에서는 검색이 되지 않아 와샥으로 갔다. Conversation에서 바로 찾을 수 있다.

사이도 819 KB.. 딱 이거다. Raw 형식으로 따로 저장해주자.

이것만 보면 무슨 파일인지 하나도 모르겠다. 복호화를 풀기 위해 VeraCrypt를 사용했다.

비밀번호는 당연히 S3cr3tVV34p0n, TryeCrypt Mode도 체크해준다.

마운트가 완료되면 아래와 같이 뜬다.

흑흑 드디어

PS. 중간에 라업이 한 번 날아가서 디테일하게 쓰던게 많이 축약 되었고, Vera Crypt 자동 포맷 설정을 안해놔서 삽질을 오래했다 ㅎ