[Network] DefCon#21 #1

이번 시간에는 CTF-d 워게임 사이트에서 네트워크 카테고리에 문제를 풀어보도록 하겠습니다.

문제를 읽어 보겠습니다.

 

문제를 읽어 봤을때 풀어야 하는 문제는 회의가 예정된 요일이 언제인지를 찾아야 하는데, 언제 진행 되었는지 알 수 있는 데이터가 어떤 형식으로 작성되어 있는지 알 수가 없기 때문에 WhireShark분석 도구를 통해서 패킷 용량, 프로토콜 등을 확인하면서 찾아야 합니다. 주어진 문제파일인 round1.pcap파일은 pcap(Packet Capture)의 약자로 패킷을 캡처한 파일이라고 생각하시면 됩니다. 그럼 바로 문제풀이를 해보겠습니다.

주어진 문제파일입니다. 이제 WhireShark로 열어 보겠습니다.

문제를 열었더니 패킷들이 많이 잡혀있습니다. 그중에서 실행을 했을 때, 가장 먼저 봐야할것은 Protocol입니다. Protocol을 보면 UDP, TCP, IRC, ARP등 여러가지의 프로토콜이 보일텐데 우리가 실질적으로 이번 문제에서 봐야할 프로토콜은 IRC입니다. IRC는 Internet Relay Chat의 약자로 실시간 채팅 프로토콜로 여러 사용자가 모여 대화를 나눌 수 있는 프로토콜입니다.

해당 IRC프로토콜을 TCP Stream으로 한번 살펴보겠습니다.

경로 : [Analyze] - [Follow] - [TCP Stream] 입니다.

TCP Stream으로 확인을 해보니 메세지가 보입니다.

빨간색 : Hi Greg :) (안녕 그렉)

파란색 : Hi Betty | what day do you want to meet up? (안녕 배티, 무슨 요일에 만나는것을 원하니?)

으로 쓰여져있고, 나머지는 인코딩된 문자열로 보입니다. 해당 문자들은 x48, x6F처럼 16진수 값으로 되어있고 1byte당

;(세미콜론)으로 값을 나뉘고 있으니 HTML로 인코딩 되어있는 대화내용임을 확인할 수 있습니다. 그래서 HTML을 디코딩하는 사이트에서 디코딩을 시켜봅시다.

디코딩을 한 결과값을 보니까 우리가 찾는 요일을 확인할 수 있다.

 

해석을 해보면 Wednesday(수요일) 2pm(오후 2시)에 만나는것입니다.