이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다.
문제를 보게 되면 악성 페이로드의 용량을 물어봅니다. 그럼 주어진 파일 round6.pcap을 와이어 샤크로 열어 보겠습니다.
와이어샤크로 TCP Stream을 열어서 분석을 하다가 뭔가 의심스러운 부분이 존재합니다.
그 부분은 Host : paimia.com에게서 http파일을 하나 받았다는 내용이니까 http를 분석해봅시다.
경로는 [File] - [Export Object] - [HTTP]
열어보니 paimia.com에서 파일을 두개 받았는데 밑에꺼는 favicon.ico라서 아이콘을 뜻하는것이라 패스하고 위에꺼는 html로 작성된 파일을 하나 받았습니다. 혹시나 더 있을까 하고 NetworkMiner를 통해서 어떤 파일을 받았는지 확인을 해보겠습니다.
역시나...하나 밖에 존재하지 않는군요!! 그럼 아까 와이어샤크에서 HTTP를 분석할 때 봤던 창에서 저 파일만 저장을 해보겠습니다. 저장하는 방법은 다음과 같습니다.
저장을 하면 우측 하단에 Windows Defender가 경고를 하나 날려주네요
이로써 해당 파일은 악성 코드가 들어있는 html파일인것을 알 수 있습니다.
문제를 보면 악성 페이로드의 용량이 몇 byte인지 물어봤으니까 3113byte가 되겠네요.
파일의 크기 : 3113
'CTF-D > Network' 카테고리의 다른 글
| [Network] 나는 힉스 입자가 발견되지 않을 것이라고 (0) | 2022.01.25 |
|---|---|
| [Network] 우리는 적군에 대한 첩보를... (0) | 2022.01.24 |
| [Network] DefCon#21 #5 (0) | 2021.10.17 |
| [Network] DefCon#21 #4 (0) | 2021.10.15 |
| [Network] DefCon#21 #3 (0) | 2021.10.15 |