이번엔 주황색(Meduim) 난이도의 네트워크 문제이다.
생각보다 풀이수가 많다.
주어진 네트워크 트래픽에서 뭔가를 찾아보라고 한다.
문제에서 주어지는 것은
ch9.pcap 파일이다.
pcap 파일은 wireshark 라는 도구를 이용해 열어볼 수 있다
열어보면 이런 화면이 나오는데
일반적으로 알고있는 TCP 나 UDP 패킷은 아닌것처럼 보였다.
Modem 과 Unknown 과의 통신을 보여주는데
Length 가 굉장히 짧은 모습이다.
문제에서 참고하라고 링크 걸어놓은
RFC 5724 문서를 살펴봤다.
Nokia, SMS 같은 내용이 적혀있는걸로 보아
문자메세지와 관련된 패킷인가 보다.
대충 이해해보면 하나의 문자를 8bit 가 아닌 7bit 로 보내는 프로토콜인것 같다.
처음엔 각 패킷 맨 뒤에 있는
data.data 부분을 모아서 뭔가 작업을 하면 의미있는 데이터가 나올까 싶었는데
그건 아니었다.
좀 내리다 보니
누가봐도 수상한
Length 126 짜리 패킷을 발견했다.
나머지 패킷이 31 ~ 41 사이인걸 감안하면
무조건 여기 뭔가가 있는게 분명하다.
이제 이 GMS 라는것을 디코딩할 수 있는 무언가를 찾으면 된다.
http://www.doubleblak.com/m/blogPosts.php?id=6
www.doubleblak.com
One of the little tools in my back catalogue that I thought it may be useful to share is for the purpose of parsing a 7Bit PDU file found on some of the cheaper LG Flip Phones (A448 I'm looking at you...) Despite being a "dumb phone" I've found surprisingl
www.doubleblak.com
구글에 GMS 7 DECODER 라고 검색해보니
위의 블로그가 나왔다.
GMS 7 에 대해서 아주 자세하게 설명해주고
아래쪽에 디코딩할 수 있는 도구도 제공해주고 있었다.
Decoding 칸에 87번 패킷을 넣었더니
메세지가 디코딩되면서
플래그를 찾을 수 있었다.
'워게임 > Root Me' 카테고리의 다른 글
| [Root Me] It happens, sometimes - 웹해킹 / Verb tampering / Burp Suite (103) | 2023.06.08 |
|---|---|
| [Root Me] File - Insecure storage 1 - 암호학 / firefox_decrypt (82) | 2023.06.06 |
| [Root Me] SSL - HTTP exchange - 포렌식 / Wireshark (79) | 2023.06.01 |
| [Root Me] SIP - authentication - 포렌식 / Sipcrack (74) | 2023.05.30 |
| [Root Me] POP - APOP - 포렌식 / Wireshark (78) | 2023.05.28 |