[Network] DefCon#21 #2

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다.

문제를 읽어보면 Betty와 Gregory가 만나는 장소를 찾으면됩니다.

주어진 문제 파일인 round2.pcap파일을 다운 받아서 실행을 시킨 다음에 문제에 나와있는대로 Betty와 Gregory가 서로 대화를 주고 받았을거 같으니 IRC프로토콜을 먼저 확인을 해보겠습니다.

경로 : [irc검색] - [오른쪽 마우스 클릭] - [Follow] - [TCP Strem]

 

* IRC 프로토콜

  Internet Relay Chat의 약자로 실시간 채팅 프로토콜입니다. 여러 사용자가 모여 대화를 나눌 수 있고, 또한 개인간의 대화 기능도 지원합니다. 또한 IRC 클라이언트와 직접 연결을 설정하는데 사용되는 하위 프로토콜인 DCC는 파일을 주고 받을 수 있고, 채팅도 가능합니다.

메세지를 읽어보면 DCC SEND r3nd3zv0us 2887582002 1024 819200이라고 적혀있는게 보이실겁니다.

DCC SEND는 기본적인 구성을 보면 DCC SEND <file name> <ip> <port> <file size> 입니다. 

위에 내용이랑 동일하게 해석하자면 DCC프로토콜을 통해서 파일을 하나 보낸다. 파일이름은 r3nd3zv0us, ip는 2887582002, 포트는 1024, 파일 사이즈는 819200입니다.

 

그럼 이제 파일을 하나 보낸것이 확인이 완료 되었으니, port번호를 한번 찾아서 가보겠습니다.

경로 : [Statistics] - [Conversations] 입니다.

아까 우리가 포트번호가 1024였습니다. 그럼 1024포트를 찾아서 보겠습니다.

1024포트를 봤을 때 한눈에 느껴지는게 다른 포트번호들보다 패킷량이 많다는게 느껴질겁니다. 그럼 많은 패킷들이 오고 가는걸 알았으니까 TCP Stream으로 한번 보겠습니다. 위와 같은 창에서 밑에 [Follow Stream]을 클릭하시면 됩니다.

흠...아무것도 보이질 않네요 허헣...그래서 우리는 network miner를 사용해서 해당 pcap파일에 사용된 통신이나 이미지, 문자등을 확인해보겠습니다.

network miner를 통해서 살펴봤을때, 3개의 메시지가 오고 간것을 알 수 있습니다. 하나씩 살펴보겠습니다.

이런 메시지가 오고 갔네요?? 해석은 따로 안하겠습니다.

읽어 보면 password가 S3cr3tVV34p0n이라네용!! 아까 봤던 TCP Stream에서 파일을 카빙해보겠습니다.

카빙 방법은 형광펜 칠해져있는 곳에서 819KB를 선택해주고 Raw형식으로 바꿔준 다음 Save as를 눌러서 저장합니다.

저장을 했으면 이런 파일이 하나 생길겁니다.

디스크 할당 크기가 819,200입니다. 아까 확인했던 파일 사이즈랑 동일하죠?? 그럼 제대로 카빙이 된겁니다.

카빙된 파일이랑 패스워드가 아까 주어졌으니까 이 파일은 암호화된 파일이라고 생각하시면 됩니다.

복호화를 하기 위해서 veracrpyt라는 프로그램으로 마운트를 진행하겠습니다.

프로그램을 켜면 본인이 마운트를 진행할 디스크를 하나 선택하고 저는(I)를 선택했습니다. 그다음 밑에 select file을 선택해서 카빙한 파일을 선택해주고 하단에 Mount를 누르시면 위에와 같이 작은 창이 하나 나올텐데 Password에 아까 network miner에서 본 패스워드를 적어주고 TruCrypt Mode를 체크하고 ok를 누르면 마운트가 됩니다.

이런식으로 마운트가 잘 되었으면 이제 사진을 클릭해봅시다.

Betty와 Gregory가 만나는 도시가 LAS VEGAS네요!! 이게 정답입니다.

 

이번 시간에 배운것중에 중요한 단어를 보자면 DCC, IRC Protocol입니다. 개인적으로 구글링을 해서 한번 더 공부하시길 바랍니다.