Network 패킷 포렌식(1)

네트워크 포렌식은 네트워크 패킷을 분석하여  해당 시점의 상황을 알아보는것입니다.

이번에는 Hack The Packet CTF 온라인 예선 문제로 공개된 문제 몇 가지를 풀어보도록 하겠습니다.

01. 착이가 POC 사이트에 접속 했을 때, 웹 서버가 시작한 시간은?

http 필터링을 해서 제일 처음부분인 GET 메세지에 HTTP를 확인해보면 호스트가 PowerOfCommunity라고 되어있습니다.

이걸 TCP Stream으로 확인해보면 알수있었습니다.

02. GRAN PLAZA로 향하는 출발지를 찾아라. 맵을 완성하고나면,경로를 찾을 수 있을 것이다

이 문제를 보고 분명 패킷파일중에 답이있을거라 생각해서 확인해보았습니다 그중 index.html파일이 있는데 이 파일을 열어보면 아래와 같습니다.

구글 화면과 비슷하지만 index.html파일의 페이지 소스를 확인해보면 이미지, 동영상 등 몇 가지의 클릭버튼을 눌러보면 퍼즐 이미지 화면으로 옮겨지게 됩니다. 맵을 완성하라는건 이 퍼즐들을 모아서 완성하라는 뜻인거 같았습니다.

클릭하면 URL주소에 이미지파일명이 나옵니다. 해당 이미지 파일들을 모아서 복구해봅니다. 이렇찾아보면 이미지가 9개가 나옵니다.

출발지는 Clinica dental Dr.Calvo인걸 확인할수있습니다.

03. 이럴수가! 도시가 뒤집어졌어! 

문제에서 말하는 도시(건물)가 뒤집어진 사진들이있습니다.

index(1)를 열어보면 뒤집어진 집 사진 4개를 확인할수있습니다. 그리고 뒤집어졌다는건 리버싱을 뜻하는거 같아 HxD로 확인해보았습니다.

코드를 자세히 확인해보고 가장 아래의 코드를 보면 jpg헤더가 거꾸로 되어져있는게 보입니다.

그렇다면 이코드를 뒤집어보면 어떤일이 생길거같습니다.

코드를 뒤집는건 두가지 방법이 있는데 헥사에디터의 이 코드를 따로 txt파일로 만들어 리눅스에서 rev file.txt > revs.txt

로 해도 돠고 다른 방법은 구글에 revers string을 입력하면 툴이 나옵니다. 이걸 사용해보도록 하겠습니다.

4개의 jpg파일 모두 새롭게 저장해보면 아래와 같습니다.

04. 산수좀 하나?

이 문제는 힌트도 애매하고 무엇을 뜻하는지 몰라 단순하게 패킷파일들을 아주 큰 이미지보기로 해서 무작정 찾아보았습니다. 나중에 알게되었는데 Export object에는 호스트이름이 있습니다. 이 호스트이름을 잘보면 수상한 호스트가 있는데 다른 분은 이걸보고 바로 찾더군요

문제의 사진은 아래와 같습니다.

문제는 산수좀 하나인걸 보면 수식이 있고 이 숫자의 답이 정답으로 보입니다. 답은 7658이네요

05. Cisco Router가 해킹당했다!

Cisco Router의 프로토콜중 tftp는 시스코 라우터의 프로토콜입니다. 와이어샤크에서 tftp로 필터링을 해보겠습니다.

바로 key값을 확인해볼수있습니다.