[Network] DefCon#21 #3

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다.

문제를 읽어보면 Gregory는 Betty를 만나지 못할 경우 어떻게 죽는지를 찾는 문제입니다.

주어진 문제 파일인 round3.pcap파일을 다운 받아서 실행을 시켜봅시다.

pcap파일을 실행 시켜서 내리다 보니 프로토콜중에 mp4라고 되어 있는 수상한 패킷이 하나 보입니다.

TCP Stream으로 실행을 시켜 보겠습니다. 경로 [Analyze] - [Follow] - [TCP Stream]

해당 프로토콜의 TCP Stream를 보면 mms-message를 받았고, 받은 파일은 VID_20130705_145557.mp4입니다.

즉 mms는 Multimedia Messaging Service의 약자로써 멀티미디어 메시지 서비스입니다. 말 그대로 mms는 사진, 소리, 동영상 등 멀티미디어 메시지를 보내는 통신 프로토콜입니다.

 

받은 파일은 mp4입니다. 그럼 파일 카빙을 통해서 실행을 시켜보겠습니다.

카빙 방법은 해당 데이터를 RAW로 바꾸면 이런 화면이 나오는데 드래그를 해서 hxd 에디터에 저장 해주면 됩니다.

단, 저장을 해줄 때 우리는 mp4파일로 받았다는것을 확인할 수 있었으니까 확장자를 mp4로 바꿔주어야합니다.

그럼 실행을 시켜보겠습니다.

엥..? 파일 형식이 다르다고 뜨네요...

분명 mp4를 받았고 확장자를 mp4로 바꿨는데 안된다는건 mp4를 구성하고 있는 고유번호인 시그니처가 다르다는걸 추측할 수 있습니다. 그러면 hxd로 다시 열어보겠습니다.

흠...생각해보면 카빙을 할 때 우리는 잘못 카빙을 한걸 알 수있는데요!!

왜 실수를 했냐면 우리는 TCP Stream에 있는 모든것을 카빙을 했습니다. 하지만 mp4를 실행하려면 고유 시그니처가 제일 앞에 와야합니다. 그래서 고유 시그니처를 찾아본 결과 00 00 00 18 66 74 79 70로 시작을 하네요. 그럼 TCP Stream에서 다시 카빙을 해봅시다.

Find으로 검색을 해보니 고유 시그니처가 나오는것을 볼 수 있습니다. 저 부분부터 카빙을 하시면 됩니다.

그럼 영상이 제대로 실행이 되는것을 알 수 있습니다.

Gregory는 DYSENTERY(전염병)로 죽네요