[Network] DefCon#21 #4

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다.

이번 문제를 보면 Betty동료가 Gregory에게 제공한 비밀번호를 찾는것입니다.

비밀번호를 줬다는것은 메세지를 받았다는 추측할 수 있습니다. 그럼 Network Miner를 통해서 pcap파일을 보겠습니다.

열어보니 아니나 다를까 Hey Greg으로 시작하는 메세지가 와있습니다. 그래서 더 스크롤을 내려보니 스크립트 코드가 있는걸 확인할 수 있는데 코드를 보면 kml파일로 짜여진 스크립트 코드인걸 알 수 있습니다.

kml파일을 구글에 검색해보니 Keyhole Markup Language의 약자로써 구글 어스, 구글 지도 등 브라우저에서 지리 데이터를 표시하는 데 사용되는 파일 형식이라고 적혀있습니다. 그럼 뒤에 있는 스크립트를 메모장에 옮겨 보겠습니다.

근데 잘 보면 스크립트 코드를 보니까 코드를 읽지 못하게 하는 \(역슬래쉬)문자가 존재하는데요 다 지워줍시다.

지우면 이런식으로 보일겁니다.

다 지웠으면 이제 저장을 해주고 kml 뷰어를 통해서 살펴보겠습니다.

뷰어를 통해서 kml파일을 업로드하면 이런식으로 지도에 빨간색으로 된 글이 나옵니다. 그래서 저게 Brut가 답이겠네요!! 그래서 입력을 했더니 어라라...답이 아니였네요 ㅠㅠㅠ 그래서 뭐가 문제인지 찾아보다가 조금 수상한 부분이 있었습니다.

이렇게 위도 경도를 보여주는 코드인거 같은데...사실 잘 모르겠습니다. 하지만 메모장 제일 밑으로 내려가면

다른 코드와 달리 ,숫자로 끝나는데 여기에선 ,로 끝나네요!! 그럼 디코딩이 덜 되었다는것으로 추측을 할 수 있습니다.

와이어샤크로 한번 보겠습니다.

이 부분을 보면 아까 우리가 찾았던 메세지의 내용이 보입니다. requests를 보면 인코딩된걸 알 수 있는데, 변환 문자를 보니 url로 되어있습니다. 왜냐하면 url은 문자들을 %xx로 변환시킨것을 말하니까 여기서도 %5B%7B이렇게 되어있다보니 url로 인코딩된걸 알 수 있습니다. 그럼 메모장에 ,로 끝난 부분까지 범위를 지정해서 디코딩을 해보겠습니다.

디코딩을 완료했으면 디코딩된 부분을 잘 보면 아까 디코딩이 덜 된 115.1751092846092.36.11701233113042. 부분을 찾아서 뒤에 이어줍시다.

여기 숫자부터 숫자 끝까지 복사를 한다음 아까 저장했던 kml파일 숫자에 덮어씌워줍니다. 덮어 씌운다음 kml viewer를 통해서 kml파일을 업로드를 하면 제대로 된 패스워드가 나옵니다.

Gregory에게 제공된 password는 Brutus입니다.

 

생각보다 문제 난이도가 갑자기 올라가서 당황했네요!!! 근데 답을 뽑아내도 저걸 읽는게 더 어려운거 같아요 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ