[angstromCTF] Admiral Shark - MISC / Wireshark / HxD

 

MISC 로 분류된 문제인데

 

포렌식 쪽으로 분류해도 될것 같다.

 

MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다.

 

반응형

 

 

문제에서 주어지는 파일은

 

admiral_shark.pcapng 이다.

 

 

Wireshark로 pcapng 파일을 열어볼 수 있다.

 

 

조금 내리다보니

 

TCP 패킷이 보여서

 

우클릭 - Follow - TCP Stream 을 해보았다.

 

 

TCP Stream 의 내용을 보니

 

뭔가 비밀 데이터를 주고받는 느낌이었다.

 

 

조금 더 밑으로 가다보니

 

패킷 Length 가 다른것보다 큰 패킷이 보여서

 

해당 패킷을 똑같이 우클릭 - Follow - TCP Stream 을 해보았다.

 

 

대충 살펴보니

 

뭔가 압축된 파일인것 같았다.

 

 

일단 해당 데이터의

 

Show data as 를 Raw 로 바꾼 뒤

 

Save as 를 눌러 파일로 저장한다.

 

 

HxD 로 저장한 파일을 열어서 다시봤는데

 

중간에 PK 라는 단어가 반복되는걸 발견했다.

 

 

ZIP 파일일 수 있을것 같아서

 

파일의 맨 앞부분에 ZIP 파일의 시그니처인

 

50 4B 03 04 를 추가해보기로 했다.

 

 

그럼 이렇게 정상적인 ZIP 파일을 만들 수 있고

 

압축도 풀 수 있다.

 

 

압축푼 폴더에서

 

xl 폴더로 들어가면

 

sharedString.xml 파일이 있는데

 

 

해당 파일안에 플래그가 적혀있다.