Forensicscontest.com의 Puzzle #2 풀이 (스토리 살짝 변경~)

Link : http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Pcap Download : http://forensicscontest.com/contest02/evidence02.pcap

MD5 (evidence02.pcap) = cfac149a49175ac8e89d5b5b5d69bad3

   

1. What is Ann's email address?

2. What is Ann's email password?

3. What is Ann's secret lover's email address?

4. What two items did Ann tell her secret lover to bring?

5. What is the NAME of the attachment Ann sent to her secret lover?

6. What is the MD5sum of the attachment Ann sent to her secret lover?

7. In what CITY and COUNTRY is their rendez-vous point?

8. What is the MD5sum of the image embedded in the document?

   

1. What is Ann's email address?

: Ann's의 E-Mail 주소는 무엇일까요? 일단 다운받은 pcap파일을 열어서 확인해 보도록 하겠습니다.

E-Mali주소에 대해서 물었으니 패킷 모두 볼 필요 없이 SMTP Protocol만 필터링 해서 보면 되겠죠?

이렇게 smtp적어주시고 엔터!

그리고 아래처럼 나온 그림에서 맨 위에 나온 결과에 마우스 우클릭을 하여 Follow TCP Stream 기능을 사용합니다.

   

* Follow TCP Stream 기능이란?

와이어샤크의 가장 유용한 분석기능 중 하나는 어플리케이션 레이어 수준으로 TCP스트림을 볼 수 있는 것이다. 이 기능은 해당 패킷과 연관된 모든 정보를 조합해서 최종 사용자가 쉽게 어플리케이션의 흐름을 파악할 수 있게 해준다.

데이터를 볼 때 TEXT파일로 저장 하거나 프린트를 할 수도 있고, 데이터를 ASCII, EBCDIC, HEX, C배열과 같이 다양한 형태로 변형해서 볼 수도 있다.

   

   

열어보면 위와 같은 내용을 확인할 수 있습니다. 우리는 문제를 풀기 위해 내용을 살펴보죠. 조금 내려가다 보니 AUTH LOGIN 이라는 로그인 인증 관련말이 있네요. 그리고 그 밑에는 알 수 없는 내용이 나오다가 AUTHENTICATION SUCCESSFUL 이라면서 인증이 완료되었다고 말이 나옵니다. 좀 더 읽어보니 From과 To의 E-Mail 주소가 나와있네요.

일단 1번문제는 가볍게 확인되었습니다.

Answer : sneakyg33k@aol.com

   

2. What is Ann's email password?

E-Mail주소는 알았는데 Password까지 알아야 하니 AUTH LOGIN 아래부분의 내용을 살펴봐야겠군요.

일단 내용을 보니 문자로만 표시되어있고 마지막에 = 이 있네요. 이정도로 BASE64로 인코딩 되었겠구나 생각하고 디코딩 시켜보겠습니다.

   

VXNlcm5hbWU6

c25lYWt5ZzMza0Bhb2wuY29t

UGFzc3dvcmQ6

NTU4cjAwbHo=

   

   →

Username:

sneakyg33k@aol.com

Password:

558r00lz

필요한 결과가 나왔네요.

Answer : 558r00lz

   

3. What is Ann's secret lover's email address?

Follow TCP Stream 내용을 내려가다 보면 아래와 같은 메일 내용을 찾을 수 있습니다.

대충보니 약속을 취소하는 내용 같네요. 이게 과연 secet lover's 메일의 내용일까요?

의심스러워 SMTP로 Filter한 내용을 살펴봅니다.

NO.85번 라인에 보면 SERVICE CLOSING CHANNEL이라는 말이 있네요. 그아래에 있는 패킷의 Follow TCP Stream 내용을 살펴봅시다.

To의 메일 주소가 다른게 있네요. 내용을 살펴보니. "Hi sweetheart!..."라는 달콤한 말로 시작하는군요. 이게 secret lover's 메일이겠네요.

   

Answer : mistersecretx@aol.com

   

4. What two items did Ann tell her secret lover to bring?

2개의 아이템이라.. 숨겨놓은 애인(?)에게 보낸 메일 내용을 다시 봐야겠네요.

"Hi sweetheart! Bring your fake passport and bathing suit. Address attached. love, Ann"

Answer : fake passport, bathing suit

   

5. What is the NAME of the attachment Ann sent to her secret lover?

이번에는 첨부파일 이름을 물어보네요. 두 번째 편지내용이 있었던 부분에서 좀 더 내려보면 아래와 같은 부분이 있습니다. 바로 보이네요.

Answer : secretrendezvous.docx

   

6. What is the MD5sum of the attachment Ann sent to her secret lover?

첨부파일의 MD5sum을 알아내라고 하네요. 그럼 secretrendezvous.docx파일을 얻어야겠네요. Follow TCP Stream 내용중에 아래와 같은 부분이 있습니다.

.filename="secretrendezvous.docx" 아래에 있으니 이부분이 첨부파일 내용같은데

Content-Transfer-Encoding: base64 라고 되어있는 부분을 참고하니 BASE64인코딩으로 되어있는걸 알겠네요. 이 부분을 다 복사하여 메모장에 붙여넣고 저장합시다.

이제 이 부분을 BASE64 디코딩을 하여 secretrendezvous.docx 파일로 만들어야 할테니 간단한 코딩을 하도록 하겠습니다.

   

#!/usr/bin/python
# -*- coding: cp949 -*-
import base64
import os

def main(): 
    print '________________' 
    print '|Select number |' 
    print '|              |' 
    print '| 1 : Encode   |' 
    print '| 2 : Decode   |' 
    print '| 3 : Directory|' 
    print '|     Search   |' 
    print '| 0 : End      |' 
    print '|______________|' 
    print '==>',
   
selnum = raw_input()

    if selnum == '1':
       
Encode()
       
main()

    elif selnum == '2':
       
Decode()
       
main()

    elif selnum == '3':
       
print 'Directory location : ',
       
print os.getcwd()
       
dirlist = os.getcwd()
       
print 'Directory list' 
        
print os.listdir(dirlist)
       
main()

    elif selnum == '0':  
        pass

   
else:
       
print 'Invalid number. Please try again'
       
main() 
   

def Encode():
   
try :
       
print 'FileName :', 
       
filename = raw_input() 
       
print 'Extension : ', 
       
ext = raw_input()

        input = open(filename+'.'+ext, 'rb') 
       
data = input.read() 
       
encode = base64.b64encode(data) 
       
output = open(filename+'_'+ext+'.txt', 'w') 
       
output.write(encode) 
       
input.close() 
       
output.close()

    except
       
print 'Error'
       
main()

def Decode():
   
try :
       
print 'FileName :', 
       
filename = raw_input() 
       
print 'Extension :', 
       
ext = raw_input() 

       
input = open(filename+'.txt', 'r') 
       
data = input.read() 
       
decode = base64.b64decode(data)         
       
output = open(filename+'.'+ext, 'wb') 
       
output.write(decode) 
       
input.close() 
       
output.close() 
   
    except :
       
print 'Error'
       
main()

main()   

일단 Python으로 작성하였습니다. 괜히 깔끔하게 만들려다가 코드만 더 길어졌네요.(능력부족-전 코더가 아님) 뭐, 암튼 프로그램을 실행시켜 디코딩 하도록 하겠습니다.

 

디코딩할거니 2번선택하고 파일명 적고, 생성될 확장자 docx적어주면 파일이 생성이 완료되었습니다.

생성된 파일을 열어보도록 하겠습니다.

제대로 열린 것 같군요. 그럼 md5값을 구해보도록 하겠습니다.

md5sum프로그램을 받아서 돌려보니 아래와 같은 결과가 나오는군요.

Answer : 9e423e11db88f01bbff81172839e1923


7. In what CITY and COUNTRY is their rendezvous point?

만날약속 장소를 묻네요. docx파일을 열었을 때 지도가 나왔었는데 point지점이 Mexico에 있는 Playa del Carmen이네요.

Answer : Playa del Carmen, Mexico

8. What is the MD5sum of the image embedded in the document?

docx문서에서 이미지파일의 MD5sum값을 구하라고 하네요. 이 문제를 풀기위한 방법은 여러 가지가 있습니다. 가장 쉽게 해결하는 방법은 docx파일을 빵집등으로 압축해제 하시면 이미지 파일을 추출하실 수 있습니다.

word폴더안에 media폴더안에 들어가면 image.png파일이 있네요. 이 파일의 MD5sum값을 구하면 정답이 됩니다.

압축을 못 푼다는 가정하에 문제를 풀어보겠습니다.

먼저 docx파일 속에 삽인된 이미지의 확장자를 파악합니다. bmp,jpg,gif,png등의 확장자 마다 각각의 매직넘버(각 파일의 고유 헤더값)가 있기 때문에 이 매직넘버를 조사하여 docx파일안에서 이미지를 나타내는 시작점을 찾습니다. png파일을 하나 만들어 winhex로 매직넘버를 확인한 결과 89 50 이라는 hex값이였습니다.

이 값과 같은 부분을 docx에서 찾으면 아래와 같이 찾을 수 있습니다.

마찬가지 방법으로 이미지가 끝나는 부분을 찾아 이 부분의 값만 따로 저장합니다.

 

 .
 
.
 
.
 

그리고 추려낸 부분에 대해서 다른 이름으로 png 파일로 저장 후 MD5sum값을 구하면 같은 결과를 얻을 수 있습니다.

Answer : aadeace50997b1ba24b09ac2ef1940b7

'IT > Wargame' 카테고리의 다른 글

[Wargame] Forensicscontest #2  (0) 2010.06.07
블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요

#startx -> X-window로 접속(안해도 됨)

   

Xwindow화면

   

#ifconfig -> 현재 IP설정 확인

   

#start-network를 통해 network 서비스 실행

   

#setup-sshd 명령어로 ssh데몬 자동 설정

#ifconfig 명령어 다시 쳐보면 IP가 설정된 것을 확인할 수 있다. 그리고 ssh서비스도 실행

된다. 혹시 안되면 #stop-sshd로 데몬을 내리고 #start-sshd 명령어로 재시작 한다

   

#X-window에서 명령어 치기 싫으면 아래와 같이 메뉴를 통해서도 가능하다.

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요

Backtrack4 Metasploit

IT/Linux 2010. 6. 7. 16:40

BackTrack includes the Metasploit Framework, but not always the latest version. To install the latest version of Metasploit in BackTrack:

$ sudo bash
# cd /pentest/svn
# rm -rf framework3
# svn co https://www.metasploit.com/svn/framework3/trunk framework3

In order to use the raw socket modules, the pcaprub extension must be installed:

# cd /pentest/svn/framework3/external/pcaprub
# ruby extconf.rb
# make && make install

In order to use the WiFi modues, the lorcon2 extension must be installed:

# cd /pentest/svn
# svn co https://802.11ninja.net/svn/lorcon/trunk lorcon2
# cd lorcon2
# ./configure --prefix=/usr && make && make install
# cd /pentest/svn/framework3/external/ruby-lorcon2
# ruby extconf.rb
# make && make install

Once a fresh Subversion snapshot has been installed, it can be updated with the following command:

# svn update /pentest/svn/framework3/

   

원본 위치 <http://www.metasploit.com/redmine/projects/framework/wiki/Install_BackTrack>

   

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요

ICOFormat.8bi


기본적으로 포토샵에서 ICO확장자로 저장할 수 없습니다.

위의 파일을 해당경로에 추가하시면 ICON파일을 생성할 수 있습니다.

C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\File Formats

사용자 삽입 이미지

[폴더에 추가]

사용자 삽입 이미지

[포토샵에서 저장하기 눌렀을때 저장할 수 있는 Format 리스트]
블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요


[WARNING]진짜 심심할 때 해야함!
1:1랜덤채팅. [랜덤채팅시작하기] 누르고 잠시 기다리세요



블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요


[CBK특집] 정보보안의 ABC, CBK를 이해하자-①CBK의 개요
http://www.boannews.com/media/view.asp?idx=17351&kind=1


[CBK특집] 정보보안의 ABC, CBK를 이해하자-②정보보안과 위험관리
http://www.boannews.com/media/view.asp?idx=17792&kind=1


[CBK특집] 정보보안의 ABC, CBK를 이해하자-③접근통제 
http://www.boannews.com/media/view.asp?idx=18511&kind=1


[CBK특집] 정보보안의 ABC, CBK를 이해하자-④암호학
http://www.boannews.com/media/view.asp?idx=19184&kind=1


[CBK특집] 정보보안의 ABC, CBK를 이해하자-⑤물리적 보안
http://www.boannews.com/media/view.asp?idx=19433&kind=1


[CBK특집] 정보보안의 ABC, CBK를 이해하자-⑥보안 아키텍처와 설계
http://www.boannews.com/media/view.asp?idx=19796&kind=1


[CBK특집]정보보안의 ABC, CBK를 이해하자-⑦CISSP는 아는데 CBK를 모르세요? Part1 
http://www.boannews.com/media/view.asp?idx=20471&kind=1


[CBK특집]정보보안의 ABC, CBK를 이해하자-⑧CISSP는 아는데 CBK를 모르세요? Part2
http://www.boannews.com/media/view.asp?idx=20849&kind=1

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요

http://www.freefileconvert.com/


PDF를 DOC로 변환하려다가 찾은 사이트.

=====Convert File=====
input : txt
output : doc, odt, pdf, rtf, wiki, sxw

input : doc
output : odt, pdf, rtf, txt, wiki, sxw

input : pdf
output : doc, html, txt

input : xls
output : csv, ods, pdf, wiki

input : ppt
output : odp, pdf, swf

=====URL Download=====
Output Format : aac, ac3, avi, flac, mov, mp3, mp4, mpg, wav, dvd, 3gp, 3g2, swf, rm, wmv, dpg, asf

기타 등등..

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요


  1. 시작->실행->regedit
  2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
  3. On the Edit menu, click Modify, and then click Decimal.
  4. Type the new port number, and then click OK.
  5. Quit Registry Editor.
블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

댓글을 달아 주세요

cacls(Change Access Control Lists)란?

AC(Access Control)목록에 대한 변경 및 수정이 가능

파일의 액세스 제어 목록(ACL)을 화면에 표시하거나 수정합니다.

CACLS 파일 이름 [/T] [/E] [/C] [/G사용자:perm] [/R 사용자 [...]] [/P사용자:perm
[...]] [/D 사용자 [...]]
    파일 이름       지정된 파일의 ACL을 화면에 표시합니다.
    /T              현재 디렉터리와 모든 하위 디렉터리에서 지정한
                    파일을 찾아서 ACL을 바꿉니다.
    /E              ACL을 대체하지 않고 편집합니다.
    /C              오류를 무시하고 ACL을 계속 바꿉니다.
    /G 사용자:perm  지정된 사용자의 사용 권한을 부여합니다.
                    Perm은 다음과 같습니다:
                              R    읽기
                              W    쓰기
                              C    바꾸기(쓰기)
                              F    모든 권한
    /R 사용자       지정된 사용자의 사용 권한을 철회합니다.
    /P 사용자:perm  지정된 사용자의 사용 권한을 바꿉니다.
                    Perm은 다음과 같습니다:
                              N    없음
                              R    읽기
                              W    쓰기
                              C    바꾸기(쓰기)
                              F    모든 권한
    /D 사용자       지정된 사용자의 액세스를 거부합니다.
한 명령에 하나 이상의 파일을 지정하는 대표 문자를 사용할 수 있습니다.
한 명령에 하나 이상의 사용자를 지정할 수 있습니다.

약어:
   CI - Container Inherit.
        ACE가 디렉터리에 의해 상속됩니다.
   OI - Object Inherit.
        ACE가 파일에 의해 상속됩니다. 
   IO - Inherit Only.
        ACE가 현재 파일/디렉터리에 적용되지 않습니다.



c:\abc.txt 파일이 있다는 가정하에..

ex1)c:\abc.txt파일에 대한 모든 사용자 권한을 삭제
cacls c:\abc.txt /E /D everyone
또는
cacls c:\abc.txt /E /P everyone:N

해석: cacls 커맨드 명령어를 통해서 abc.txt파일에 대해 ACL을 대체하지 않고 편집(/E)하고, 지정된 사용자(everyone)의 엑세스를 거부(/D옵션)함.

ex2)c:\abc.txt파일에 지정된 사용자의 사용 권한 철회
cacls c:abc.txt /E /R everyone
해석: cacls 커맨드 명령어를 통해서 abc.txt파일에 대해 ACL을 대체하지 않고 편집(/E)하고, 지정된 사용자(everyone)에게 걸려있던 사용 권한들을 모두 철회함.

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

Tag cacls

댓글을 달아 주세요


아웃룻2007 -> 도구 -> 계정설정 -> RSS 피드 -> 새로만들기 -> 주소붙여넣기 

주제

사이트

한국경제뉴스

경제/금융

http://rss.hankyung.com/economy.xml

증권

http://rss.hankyung.com/stock.xml

부동산

http://rss.hankyung.com/estate.xml

산업

http://rss.hankyung.com/industry.xml

국제

http://rss.hankyung.com/intl.xml

정치/사회

http://rss.hankyung.com/politics.xml

스포츠/문화

http://rss.hankyung.com/sports.xml

사설/칼럼

http://rss.hankyung.com/column.xml

재테크 칼럼

http://rss.hankyung.com/ft.xml

보안뉴스

뉴스 카테고리

전체기사

http://www.boannews.com/media/news_rss.xml

ITㆍ인터넷

http://www.boannews.com/media/news_rss.xml?kind=1

산업ㆍ경제

http://www.boannews.com/media/news_rss.xml?kind=2

사회ㆍ문화

http://www.boannews.com/media/news_rss.xml?kind=3

기업ㆍ피플

http://www.boannews.com/media/news_rss.xml?kind=4

기술ㆍ제품

http://www.boannews.com/media/news_rss.xml?kind=5

세부 카테고리

긴급경보

http://www.boannews.com/media/news_rss.xml?skind=5

신제품정보

http://www.boannews.com/media/news_rss.xml?skind=9

기업정보

http://www.boannews.com/media/news_rss.xml?skind=8

인터뷰

http://www.boannews.com/media/news_rss.xml?skind=3

보안컬럼

http://www.boannews.com/media/news_rss.xml?skind=2

보안정책

http://www.boannews.com/media/news_rss.xml?skind=6

예병일의 경제노트

http://www.linxus.co.kr/lib/rssblog.asp?blogid=yehbyungil

고민하고 토론하고 사랑하고

http://blog.ohmynews.com/dangun76/rss

10억 만들기 재테크

http://goodfind.tistory.com/rss

서명덕기자의 人터넷 세상

http://itviewpoint.com/blog/rss

게렉터블로그

http://rss.egloos.com/blog/gerecter

퀸테센스

http://teamhere.tistory.com/rss

Engadget

http://kr.engadget.com/rss.xml

ITViewpoint

http://itviewpoint.com/rss

모바일 컨텐츠 이야기

http://mobizen.pe.kr/rss

프리미어리그 인사이드

http://www.epl-inside.net/rss

네이버 뉴스 - 모든 카테고리 최근뉴스

http://news.apmsetup.com/rss.php

화상영어 마이프리토킹

http://myfreetalking.tistory.com/rss

전체기사 : 뉴스 : 한겨레 뉴스 - 인터넷한겨레

http://www.hani.co.kr/rss/

 

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

Tag RSS, rssfeed

댓글을 달아 주세요

-->