KISA 해킹 방어 훈련장 문제에 대한 풀이입니다.
Network Level1 문제를 보면 아래와 같습니다.
문제 제목 : PCAP 파일을 분석하여라!
문제 설명 : 주어진 PCAP 파일을 분석하여
인증키를 추출해 보아라!
문제 풀기를 클릭하면 findkey2.pcap 파일을 다운 받을 수 있습니다.
와이어샤크(wireshark)로 열어봅시다.
메뉴에서 'statistics > conversations'을 선택해봅시다.
두 호스트 간 통신한 내용을 간략하게 정리해서 보여주는 기능입니다.
이제 하나 하나 'Follow Stream' 버튼을 눌러가며 통신 내용을 살펴 봅시다.
TCP 프로토콜 6664번 포트로 통신한 내용입니다.
HanIRC 통신인데 평문으로 통신했기 때문에 대화 내용을 모두 볼 수가 있네요.
혹시나 대화 중에 키 값이 있을 지 모르니 찬찬히 대화 내용을 살펴 보았지만 별 다른 내용이 없습니다.
그런데, 대화 마지막에 'my.zip' 파일을 보내겠다고 하는군요.
혹시 주어진 pcap파일에 my.zip파일을 전송하는 패킷이 포함되어 있을 지 모르니 한 번 찾아봅시다.
만약, zip파일의 header/footer 값을 알고 있다면 수월합니다.
메뉴의 'Edit > Find Packet' 을 선택해봅시다.
'Hex Value'를 선택하고 zip파일의 header인 '50 4B 03 04 14'를 넣고 'Find'버튼을 클릭해봅시다.
패킷 하나가 검색 되었네요.
해당 패킷에서 마우스 우 클릭 후 'Follow TCP Stream' 메뉴를 선택해봅시다.
통신 한 내용이 나옵니다. 즉, zip파일의 내용에 해당하겠죠.
화면 하단의 'Save As'를 선택 후 원래 보내려던 이름인 'my.zip'으로 저장해봅시다.
저장된 zip 파일을 열어봅시다.
zip파일 안에는 'my.txt'라는 파일이 있고 파일을 열어보면 key값이 들어있습니다.
약간의 인내심을 가지고 노가다를 해야 하긴 하지만 의외로 쉽게 풀리는 문제입니다.
만약, conversations 메뉴에서 아래 그림처럼 zip파일을 전송하는 tcp flow를 찾았다면 더 간단하게 문제를 풀 수 도 있었을 겁니다.
'Follow Stream' 버튼을 클릭하면 my.zip 파일을 주고받는 통신을 바로 볼 수 있습니다.
'IT 생활 > 해킹' 카테고리의 다른 글
| [해킹/문제풀이] KISA 해킹방어 Network Lv3 - PCAP 파일에서 네이트온 통신 내용 분석 (2) | 2013.10.02 |
|---|---|
| [해킹/문제풀이] KISA 해킹방어 Network Lv2 - PCAP 파일에서 Telent 통신 내용 분석 (4) | 2013.09.30 |
| [해킹/ 문제풀이] KISA 해킹방어 Web Lv2 - XSS 필터링 우회 기법 (0) | 2013.09.23 |
| [해킹/문제풀이] KISA 해킹방어 Web Lv1 - 난독화된 Javascript 디코드 (8) | 2013.09.23 |
| 파일 종류 별 매직 넘버 (magic number) (0) | 2013.09.16 |
