liqu3ur 님의 블로그

문제 설명이미지가 도난당했는데, PCAP 파일에서 찾을 수 있나요?  문제 풀이문제 파일을 열고, 첫 번째 패킷을 보면 아래 이미지와 같이 퀴리에 16진수 값이 포함되어 있고, 이것이 패킷마다 다른 값임을 확인할 수 있다. 이 16진수 값들 중 첫 번째 패킷의 89504e470d0a1a0a는 PNG의 header signature인 것을 짐작할 수 있고, 공격자가 DNS 쿼리를 이용해 이미지 파일을 여러 패킷으로 분할하여 유출시켰음을 추측할 수 있다. 이제, DNS쿼리에서 모든 패킷의 16진수 값을 추출하도록 한다. 실행 명령어는 아래와 같다. (칼리리눅스에서 진행한다.)tshark -r justapcap.pcap -Y "dns.qry.name" -T fields -e dns.qry.name | grep..

문제 설명의심스러운 네트워크 전송이 가로채졌습니다. 사이버 보안 요원이 사라지기 전에 의심스러운 네트워크 트래픽을 감지했습니다. 공격자들은 흔적을 지우려고 시도했지만 PCAP 파일이 복구되었습니다. 이 패킷 어딘가에 중요한 파일이 유출되었습니다. 트래픽을 분석하고, 숨겨진 데이터를 추출하고, 비밀 메시지를 밝혀낼 수 있나요? 문제 풀이제공된 PCAP 파일을 열고 의심스러운 패킷을 찾는다. 아래 이미지와 같이 첫 번째 패킷을 우클릭 한 후, 따라가기 클릭 후, TCP 스트림을 클릭한다. TCP 스트림을 확인해보면 아래 이미지와 같이 data가 base64로 인코딩 되어있는 것을 확인할 수 있다.  base64 디코딩 사이트(https://www.base64decode.org/ko/)에 접속해 디코딩을 진행..

They've been trying to breach our infrastructure all morning! They're trying to get more info on our covert kangaroos! We need your help, we've captured some traffic of them attacking us, can you tell us what tool they were using and its version? NOTE: Wrap your answer in the DUCTF{}, e.g. DUCTF{nmap_7.25}그들은 아침 내내 우리 기반 시설을 침해하려고 했습니다! 그들은 우리의 숨어있는 캥거루에 대해 더 많은 정보를 얻으려고 노력하고 있어요! 여러분의 도움이 필요합니다..