문제
풀이
Networkminer를 이용하여 패킷을 우선 분석해보았다. Message 탭에 3개가 잡혀서 찾아보니, Greg과 Betty가 주고받은 메일이 보인다. 또한 메일 내용에서 password도 제공하고 있었다. 2개의 메일이 존재하고 마지막에는 'DCC SEND'라는 단어들이 보였다. DCC SEND에 대해 검색해보니, "IRC와 관련된 하위 프로토콜로 파일을 교환할 때 사용"이라고 나와 있었으며, DCC SEND <filename> <ip> <port> <file size> 임을 알 수 있었다.
이를 통해, ip주소, port 번호, file size를 각각 알 수 있었다.
Wireshark conversations에서 1024port를 찾아보니, 172.29.1.50, 172.29.1.55가 통신한 내용이 보인다. 819kb로 맞춘 후 raw 파일로 저장하였다.
메일에서 password를 준 것으로 보아 암호화 된 파일임을 알 수 있었고, VeraCrypt를 통해서 파일을 풀었다. 처음에는 password만 입력하고 마운트 했는데 제대로 되지 않아 찾아본 결과 TrueCrypt에서 만든 암호화 볼륨을 VeraCrypt에서 열려면 TrueCrypt Mode를 체크해야 된다고 하였다. 이렇게 하면, 마운트한 드라이브에서 flag를 얻을 수 있다.
'CTF > ctf-d' 카테고리의 다른 글
| [Network] DefCoN#21 #3 (0) | 2022.02.09 |
|---|---|
| [Multimedia] 저는 플래그를 이 파일에... (0) | 2022.02.09 |
| [Disk] 이벤트 예약 웹 사이트를 운영하고... #A, #B, #C (0) | 2022.01.31 |
| [Multimedia] 제 친구의 개가 바다에서... (0) | 2022.01.31 |
| [Memory] GrrCON 2015 #1 (0) | 2022.01.31 |
