CTF-D splitted 문제입니다.
이번에는 분할.7z이라는 zip을 문제로 줍니다.
압축파일을 열어보면
pcap 라는 형식의 파일이 들어있습니다.
pcap라는 파일 형식을 처음봐서 검색해보니
캡쳐한 패킷 데이터파일이며 와이어샤크를 이용하면 분석이 가능하다고 합니다
와이어샤크를 이용해 패킷 파일을 열어보면
많은양의 캡쳐화면이 보입니다.
패킷을 몇개 보다보니
flag.zip라는 파일을 전달받은 패킷임을 확인 할 수 있었습니다.
패킷 캡쳐에서 파일을 다운받는 방법을 찾아 flag.zip파일 8개를 다운로드에 성공했습니다.
와이어샤크 - 파일 추출
GOAL 이번 강의에서는 pcap 파일에서 파일을 추출하는 방법을 알아봅니다. Prologue 파일 추출 방법을 알아두면 좋은 기술입니다 . Wireshark 일단 첨부 파일을 받아주세요 .( 이파일은 hack-me.org 의 문제
stih.tistory.com
하지만 압축을 해제하려고 시도하니
한개의 압축파일만 psd형식의 파일이고 나머지는 압축파일이 아니라고 합니다.
일단 압축파일인 파일 하나를 압축파일 해제를 시도했더니 손상된 파일이라고 합니다.
손상된 파일에 8개의 같은이름의 파일이 있다는건 파일을 분할전송했다는 걸 알 수 있습니다.
분할전송된 파일을 다운받은 순서대로 합쳐봤지만 실패했습니다.
그래서 캡쳐된 패킷을 보면 순서를 알 수 있지 않을까 해서 확인해보니
Content-Range로 원문의 최대길이 3745, 확인한 패킷은 469~937까지임을 확인 할 수 있었습니다.
이를 이용해 각 패킷 16~86까지의 패킷들의 순서를 재정렬 해보면
| Packet 16 | 2345-2813 |
| Packet 26 | 0-468 |
| Packet 36 | 1407- 1875 |
| Packet 46 | 2814-3282 |
| Packet 56 | 3283-3744 |
| Packet 66 | 469-937 |
| Packet 76 | 938-1406 |
| Packet 86 | 1876-2344 |
2 -> 6 -> 7 -> 3 -> 8 -> 1 -> 4 -> 5 순서로
파일이 분할되어 전송되었음을 확인 할수 있었습니다.
패킷을 순서대로 합쳐서 압축을 해제해보면
psd파일이 정삭적으로 압축해제되었습니다.
psd파일 형식은 포토샵의 파일형식이므로 포토샵으로 파일을 열어보면
아무것도 없는 하얀 화면입니다.
하지만 좌측에 레이어를 보면 2개로 분리되어있는걸을 확인 할 수 있습니다.
하얀배경의 레이어를 지워보면
MMA{ } 형태의 FLAG를 찾았습니다
찾은 FLAG를 제출해주면
문제가 해결되었습니다.
'Wargame(DigitalForensic) > CTF-D Writeup' 카테고리의 다른 글
| [CTF-D] 호레이쇼가 플래그를 보며 Writeup (0) | 2023.02.15 |
|---|---|
| [CTF-D] 원래 의미가 없는 것들도 Writeup (0) | 2023.02.15 |
| [CTF-D] Graphics Interchange Format Writeup (0) | 2023.02.15 |
| [CTF-D] basics Writeup (0) | 2023.02.14 |
| [CTF-D] 이 파일에서 플래그를 찾아라 Writeup (0) | 2023.02.14 |