[Space Heroes CTF] Star Pcap - 포렌식 / Wireshark

 

지난 주말간 있었던 Space Heroes CTF 대회이다.

 

우주 컨셉으로 구성된 재미있는 대회였다.

 

반응형

 

Star Pcap는 가장 쉬웠던 포렌식 문제이다.

 

star.pcap 라는 이름의 패킷파일이 하나 주어진다.

 

 

 Wireshark로 pcap 파일을 열어볼 수 있다.

 

열어보면 패킷 양은 52개로 그렇게 많지 않다.

 

162.248.71.9에서 151.101.5.188 ICMP 패킷(ping)을 계속 날리고있는걸 확인할 수 있다.

 

 

패킷을 천천히 살펴보다가 수상한 부분을 발견했다.

 

패킷의 거의 마지막 부분을 보면 현재 파란색으로 블록잡혀있는 부분(63)만 다른값으로 변하는걸 확인할 수 있다.

 

예를들어 지금 보고있는 1번패킷은 해당부분의 값이 63이지만

 

 

2번 패킷을 보면 나머지 부분은 다 똑같은데 해당 부분만 32로 값이 바뀐것을 볼 수 있다.

 

조금 더 자세히 보기위해서 패킷을 모두 추출해봤다.

 

 

Wireshark에서 File - Export Packet Dissections - As Plain Text 메뉴를 선택하면

 

전체 패킷의 hex 값을 모두 추출할 수 있다.

 

 

추출한 값을 txt파일로 저장해서 메모장으로 열어보면 위와 같다.

 

아까 본것처럼  63(c) - 32(2) - 68(h) - 6a(j) - 64(d) ~~ 이런식으로 해당 부분만 값이 변하고 있다.

(참고로 괄호안에 있는 것은 Ascii 코드로 해석한 결과이다.)

 

값이 변하는 저 부분의 패킷을 모두 모아준다.

 

패킷이 52개 밖에 되지 않기 때문에 머리아프게 코딩하는것보다

 

그냥 일일이 하나씩 찾아서 쓰는게 훨씬 빠르다.

 

 

해당 부분의 값을 다 모으면 c2hjdGZ7TDBnMWMtaSQtdGgzLWJlz2loTmluZy0wZi13aSRkb019 라는 값이 나온다.

 

보통 이런 영어대소문자+숫자로 된 값이 나올경우 base64로 디코딩 먼저 해보는게 좋다.

(https://gchq.github.io/CyberChef/)

 

위 페이지에서 쉽게 디코딩 할 수 있다.

 

해당 문자열을 디코딩하면 그림과 같이 플래그가 나오는걸 볼 수 있다.