[247CTF] ERROR REPORTING PROTOCOL - 포렌식 / Wireshark / Tshark

 

247CTF에서 제공하는 

 

네트워크 패킷 분석과 관련된 문제

 

반응형

 

기존에 블로그에서 다뤘던 문제 유형과

 

크게 다르지 않은 쉬운 문제이다.

(https://hackingstudypad.tistory.com/495)

 

 

문제에서 주어지는 것은

 

error_reporting.pcap 파일이다.

 

 

해당 파일을 Wireshark 로 열어볼 수 있는데

 

열어보면 맨 위에 하나만 ICMP request 패킷이고

 

나머지는 ICMP reply 패킷인 것을 볼 수 있다.

 

reply 패킷에 전송될 데이터가 숨겨져 있는 느낌이다.

 

 

두번째 패킷을 선택해 data.data 영역을 보면

 

ff d8 ff e0 로 시작하는것을 볼 수 있다.

 

 

FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다.

 

이런걸 파일 시그니처 라고 한다.

 

JPG 파일을 ICMP reply 패킷 속에 넣어 쪼개서 보내고 있는 것이다.

 

 

일단 데이터를 추출하기 위해서 tshark를 이용한다.

 

tshark는 Wireshark의 커맨드라인 버전이라고 생각하면 된다.

 

tshark는 칼리 리눅스를 설치하면 안에 내장되어 있다.(https://hackingstudypad.tistory.com/58)

 

tshark 명령어로 실행 가능하며

 

-r 옵션으로 불러올 패킷 파일을 지정해준다.

-T 옵션은 텍스트 출력형식을 지정하는데 fields 형식으로 지정해준다.

-e 옵션은 표시하고자 하는 필드를 지정할 수 있다. -T 옵션과 같이 쓰이는데 data.data 필드를 지정했다.

 

그리고 추출한 데이터를 flag 라는 파일명으로 저장해주었다.

 

 

그럼 이렇게 flag 파일이 생성된다.

 

 

flag 파일의 내용을

 

HxD 로 옮긴 뒤,

 

맨 앞에 Send the flag! 부분을 날리고

 

ff d8 부터 시작하게 만든 뒤 저장하면

 

 

숨겨져 있던 플래그를 찾을 수 있다.