-
0727 [DigitalForensic] Network_with CTFDefCoN#21 #42020/Write-Ups 2020. 8. 1. 23:27
화요일팀 박상은
문제에 있는 round4.pcap파일을 다운받았다.
NetworkMiner이용하여 파일을 열어준다.
2개의 메세지가 있다.
그중 첫번째 메세지를 보자
We should get dinner afterwards!
Betty 뒤에 kml이 있다.
<?xml version=\"1.0\" encoding=\"UTF-8\"?> 시작하여 끝까지 115.1751092846092,36.11701233113042, 복사하여 메모장에 붙여놓는다.(115.1751092846092,36.11701233113042 숫자까지 적는것이다!!)
\나 \n같은 특수문자는 지워준다(역슬래쉬)
저장하면 확장자를 txt에서 kml로 바꾼다.
바꾼후 kml viewer에 넣어본다.
kml viewer주소이다.
KML Viewer
Please enable JavaScript to view this site.
ivanrublev.me
그러면 지도위에 Brut라고 적혀있다(사실 글씨체를 몰라봐서 다른 글 참고했다. ru부분은 알아도 모르겠다.. )
근데 이게 답이 아니다. 다른 정답을 참고했더니 Brutus라고 한다.
틀렸다면 그냥 오류가 나서 지도위에 글씨가 안보여야하는데 앞부분은 나오니(Brut) 뭔가 더 적혀져있어야한다.
(kml파일에)
그래서 networkminer에서 다시 보니 이상하다 숫자로 끝나야하는데 ,로 끝나있다.
아 진짜 복구를 다 못했구나, 중간에 끊어졌구나 알 수 있다.
문제에서 받은 파일을 와이어샤크로 열어본다
requests=%5B%7B%22From%22%3A%22betty~부터 파란색부분나오기전까지 빨간색부분을 다 복사한다.
url디코딩이 필요한데 너무 길어서 많은 url디코딩사이트가 너무길어할수없다고 나온다.
근데 이사이트는 가능하다
https://heavenly-appear.tistory.com/176
[URL 인코더, 디코더] url인코딩, url디코딩 - 바로 변환해드려요!
Encoding Decoding 복사버튼은 현재 크롬에서만 지원가능합니다. 안녕하세요. 개인적으로 url인코딩 및 url디코딩을 자주 변환해서 자바스크립트로 기반으로 URL인코더 및 URL디코더를 만들었습니다. (�
heavenly-appear.tistory.com
아무튼 복사한거를 붙여주고 디코딩!
자 디코딩된것을 메모장에 붙여서 kml확장자로 해주면 안된다.
아까 문제를 풀었을때 끝까지 복구가 안됐다고 했다.
그럼 아까 적었던부분에 뭔가를 더 적으면 답이 나올것이다
-115.1751092846092,36.11701233113042,로 끝났다.
디코딩한것을 메모장에 붙여놓고 찾기하였다
그랬더니 뒤에 networkminer로 복구가 안된부분이 나왔다. 0 -115부터 끝까지 복사해서 아까 적었던곳에 플러스해서 적었다.
그리고 다시 확장자를 kml로 해서 viewr에 했더니 정답이 나왔다
정답!(근데 진짜 못알아보겠다... 어떻게 저게 s일까... 처음에 e인줄알았다....)
'2020 > Write-Ups' 카테고리의 다른 글
0803 [ctf-d] 사진 속에서 빨간색이 ... (0) 2020.08.02 0803 [ctf-d] 우리는 이 파일에 플래그를 ... (0) 2020.08.02 0803 [CTF-D] NetWork #3-DefCoN#21 #3 (0) 2020.08.01 0803 CTF-D 6번 (0) 2020.08.01 0803 CTF-D 4번 (0) 2020.08.01