문제
풀이
pcap 파일을 Networkminer로 열어 보았다. message 탭에 2개가 잡혀서 읽어보니 아래와 같이 Betty와 Greg가 주고받은 이메일이 있음을 알 수 있다. 첫 번째 이메일에 xml 태그가 삽입되어 있었고, 그 아래 kml 태그가 삽입되어 있었다. kml에 대해 검색을 해 보니, 'Google 어스, Google 지도 및 Google 모바일 지도와 같은 어스 브라우저 지리 데이터를 표시하는 데 사용되는 파일 형식'이라고 하였다. 그래서 kml 파일을 열어보면 지도가 나오지 않을까 생각하였다.
이메일 아래쪽에 삽입된 태그들을 복사해 봤는데 아래 쪽에 닫힌 태그들이 몇몇개 없는 것을 볼 수 있었다. 뒤쪽에 추가적인 내용이 있을것이라 생각해 wireshark로 해당 이메일을 찾아보았다.
wireshark에서 source ip와 destination ip로 필터링하고, 찾아본 결과 제일 위에 mail 내용이 담겨져 있는 것을 발견하였다. reuqest 단어 뒤쪽에 내용이 있을테니 request로 단어 검색을 한 후, 복사를 하여 url decoding을 하였다.
sublime을 통해 해당 xml 파일을 완성하였다. Networkminer에서 찾은 내용 중 마지막 숫자를 검색하여 뒤쪽 내용을 채울 수 있었다. '\'를 ''으로 바꾼 후, xml 파일로 저장하여 아래의 사이트에서 파일을 열었다.
(Google earth로도 xml 파일을 열 수 있다고 하였으나 원하는 정보를 얻을 수 없어서 아래의 사이트를 이용하였다.)
KML Viewer
<!-- We suggest to use Measure Your Land app for measuring Earth on iPhone & iPad! --> Please enable JavaScript to view this site.
ivanrublev.me
그러면 다음과 같이 지도가 나오고 그 위에 flag가 적혀있다.
'CTF > ctf-d' 카테고리의 다른 글
| [Memory] GrrCON 2015 #2 (0) | 2022.02.14 |
|---|---|
| [Network] Sans Network Forensic[Puzzle 3] #1 (0) | 2022.02.09 |
| [Network] DefCoN#21 #3 (0) | 2022.02.09 |
| [Multimedia] 저는 플래그를 이 파일에... (0) | 2022.02.09 |
| [Network] DefCoN#21 #2 (0) | 2022.02.08 |
