KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Network Level 3 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 pcpcpc.pcap파일을 다운 받을 수 있습니다. 

와이어샤크(wireshark)로 열어봅시다. 

그리고, 메뉴에서 'statistics > conversations'을 선택해봅시다. 

두 호스트 간 통신한 내용을 간략하게 정리해서 보여주는 기능입니다. 

이제 하나 하나 'Follow Stream' 버튼을 눌러가며 통신 내용을 살펴 봅시다. 

전반적으로 훑어보고 의심가는 flow를 먼저 봐도 됩니다. 

위에서 선택한 대화는 네이트온으로 주고받은 대화네요. 

암호화 되어 있지 않아서 서로 주고받은 메시지를 모두 볼 수가 있습니다. 

대화로 주고받은 내용중에 인증키로 의심이 가는 메시지가 있습니다. 

혹시나 하는 마음에 넣어보니.. 역시나 맞네요. 

문제가 쉬운 감이 없잖아 있지만.. 어쨌든 풀었으니 패스~ 

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Network Level 2 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 proc_p2.pcap파일을 다운 받을 수 있습니다. 

와이어샤크(wireshark)로 열어봅시다. 

그리고, 메뉴에서 'statistics > conversations'을 선택해봅시다. 

보다 보니 telent 통신을 한 내역이 있네요. 

암호화 되어 있지 않아서 서로 주고받은 데이터를 모두 볼수가 있네요. 

아래쪽으로 내려보니 로그인 정보가 있습니다. 

설마 이렇게 쉬운 문제를 냈을까 싶지만.. 이 값이 문제에서 요구한 인증키 입니다. 

단, 저 문구를 통채로 넣는것은 아니구요.. 일부만 넣어야 합니다.

일부가 어디부터 어디까지 인지는 문구를 보면 아마도(?) 아실 겁니다. 

만약, 봐도 감이 안온다면 그냥 여러번 시도하시면 되니깐 푸는데는 지장 없을 겁니다. 

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Network Level1 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 findkey2.pcap 파일을 다운 받을 수 있습니다. 

와이어샤크(wireshark)로 열어봅시다. 

메뉴에서 'statistics > conversations'을 선택해봅시다. 

두 호스트 간 통신한 내용을 간략하게 정리해서 보여주는 기능입니다. 

이제 하나 하나 'Follow Stream' 버튼을 눌러가며 통신 내용을 살펴 봅시다. 

TCP 프로토콜 6664번 포트로 통신한 내용입니다. 

HanIRC 통신인데 평문으로 통신했기 때문에 대화 내용을 모두 볼 수가 있네요.

혹시나 대화 중에 키 값이 있을 지 모르니 찬찬히 대화 내용을 살펴 보았지만 별 다른 내용이 없습니다. 

그런데, 대화 마지막에 'my.zip' 파일을 보내겠다고 하는군요. 

혹시 주어진 pcap파일에 my.zip파일을 전송하는 패킷이 포함되어 있을 지 모르니 한 번 찾아봅시다. 

만약, zip파일의 header/footer 값을 알고 있다면 수월합니다. 

메뉴의 'Edit > Find Packet' 을 선택해봅시다. 

'Hex Value'를 선택하고 zip파일의 header인 '50 4B 03 04 14'를 넣고 'Find'버튼을 클릭해봅시다. 

패킷 하나가 검색 되었네요. 

해당 패킷에서 마우스 우 클릭 후 'Follow TCP Stream' 메뉴를 선택해봅시다. 

통신 한 내용이 나옵니다. 즉, zip파일의 내용에 해당하겠죠. 

화면 하단의 'Save As'를 선택 후 원래 보내려던 이름인 'my.zip'으로 저장해봅시다. 

저장된 zip 파일을 열어봅시다. 

zip파일 안에는 'my.txt'라는 파일이 있고 파일을 열어보면 key값이 들어있습니다. 

약간의 인내심을 가지고 노가다를 해야 하긴 하지만 의외로 쉽게 풀리는 문제입니다. 

만약, conversations 메뉴에서 아래 그림처럼 zip파일을 전송하는 tcp flow를 찾았다면 더 간단하게 문제를 풀 수 도 있었을 겁니다. 

'Follow Stream' 버튼을 클릭하면 my.zip 파일을 주고받는 통신을 바로 볼 수 있습니다.