이번에 HTTP 기록을 살펴보는데 메일 기록이 있었다.
[File]-[Export Objects]-[HTTP]
Betty와 Greg이 메일로 메시지를 주고받았을 수도 있다는 생각이 들었음
서로 주고받았다면 문자열에 이름이 남았을 수도 있을 것 같아 Ctrl + F 하고 String으로 선택한 다음에 Betty를 검색해주었다. 결과가 나왔다!
기록 중 하나에 Follow TCP Stream을 해서 내용을 살펴보니 깨진 메일 기록이 남아있다.
무슨 소린지 모르겠어서 다른 도구를 사용해서 봤다.
Networkminor는 분할하여 보낸 패킷들을 다시 재구성해서 보여주기 때문에 분석에 용이하다고 한다.
이런. 베티가 만나기로 한 날에 안나갔나보다. 근데 친구 없이 나오랜다. 그리고 비밀번호를 주고 만나기를 기대한다고 한다.
Password : S3cr3tVV34p0n
Greg이 패스워드를 받았다고 한다. 영 못 쓸 놈은 아닌 듯
betty가 보낸 파일을 찾아야 할 것 같아서 와이어 샤크로 돌아와서 다시 찾아보니 밑의 패킷을 발견할 수 있었다.
[Statistics]-[Conversations]
betty!~로 시작하는 문자.. 뒤에 PRIVMSG로 되어있어 검색해봤더니 IRC 메시지라고 한다.
PRIVMSG [channel] [:message] : 해당 채널로 메시지 보내기
DCC(Direct Client To Client)는 이야기 도중에 FTP가 아닌 IRC에서 자유롭게 file을 송수신할 수 있게 해 준다.
DCC SEND <filename> <ip> <port> <filesize>
-> D34thM3rch4nt 채널로 r3nd3zv0us이름의 81900 사이즈 파일을 288758992002 ip 주소, 1024번 포트로 보냈음
1024번 포트 기록이 이 기록 밖에 없어서 우선 파일 카빙을 진행해본다.
81900 사이즈를 찾아 RAW로 카빙 진행
S3cr3tVV34p0n <<이 암호가 어떤 암호인지, 다운로드한 파일이 어떤 형식인지 힌트를 찾지 못해서 그냥 암호화 프로그램에 돌렸다. veracryto 프로그램을 사용했는데 파티션 분리에서 자꾸 오류가 나서 검색해서 답을 찾아냈다.
FLAG : LAS VEGAS
'Forensics > CTF' 카테고리의 다른 글
| [DISK] 이벤트 예약 웹사이트를 운영하고… #B (0) | 2021.04.30 |
|---|---|
| [Memory] GrrCON 2015 #3 (2) | 2021.04.02 |
| [Memory] GrrCON 2015 #1,2 (0) | 2021.04.02 |
| [Network] DefCoN#21 #1 (0) | 2021.04.01 |
| [Multimedia] 제 친구의 개가 바다에서… (0) | 2021.04.01 |
