안녕하세요. me0w2en입니다.
이번 달 초에 있었던 CSR CTF의 backup 문제 풀이 작성해보겠습니다.
대회와 문제 정보는 아래와 같습니다.
Site : https://ctf.cybersecurityrumble.de/pages/home/
Date : Sat, 08 July 2023, 13:00 UTC — Sun, 09 July 2023, 13:00 UTC
Type : cry, misc, bby
Level : easy
Flag 제출 이후라 description 확인이 불가능한데, 흥미로운 네트워크 패킷을 발견했다는 글이 작성되어 있던 걸로 기억합니다.
backup.tar.gz 파일이 주어지고 압축을 해제하면 와이어샤크 캡쳐 포맷인 traffic.pcap 파일이 주어집니다.
와이어샤크는 네트워크 패킷을 캡쳐하거나 분석할 수 있는 오픈소스 Tool입니다.
설치 후 실행해보면 아래 같은 화면을 확인할 수 있습니다.
파일 Info를 읽다가 FTP에서 의미가 있는 문자열 교환을 확인하였습니다.
wireshark에서 제공하는 Follow Stream 기능을 사용하여 위 부분에서 교환된 PASS를 확인할 수 있었습니다.
경로는 [Statistics] - [conversation] - [TCP] - [Follow Stream]
사진처럼 Password로 sup3rs3cur3라는 문자가 교환된 걸 발견할 수 있었습니다.
추가로 아래처럼 zip 파일이 나타나는 부분이 있어서 이 부분은 우분투 환경에서 확인 후 파일 카빙을 했습니다.
46DA의 확장자를 zip으로 변환 후 전에 구한 비밀번호로 압축을 해제하면 flag가 작성된 json 파일을 확인할 수 있습니다.
🚩 Flag : flag{TelentAndFTPAreSoVErySecure}
'Write up' 카테고리의 다른 글
| SuNiNaTaS Forensic 18번 (0) | 2023.08.03 |
|---|---|
| SuNiNaTaS Forensic 14번 (0) | 2023.08.02 |
| SuNiNaTaS System 16번 (0) | 2023.07.27 |
