[cce2020] forensic - [하] sharkme

[그림1 - sharkme]

문제 첫 화면이고 비밀 문서가 해커에 의해 유출됐다. 유출된 문서를 조사하라는 문제다. 

하단의 pcap 파일을 다운로드 해서 열어봤다.

 

[그림2 - wireshark]

파일이 유출됐으니까 ftp 프로토콜만 필터링 했다. 훑어보다가 'cce2020.docx' 파일이 유출된 흔적을 발견했다.

 

[그림3 - wireshark]

ftp-data로 다시 필터링 했더니 파일이 전송됐음을 확인했다.

 

[그림4 - wireshark]

그림3의 패킷을 TCP Stream으로 열어서 파일 시그니처를 확인하고, 저장한 파일을 열었는데 열리지 않았다.

구글링 해보니까 저장할 때 RAW 모드로 저장해야 된다는 것을 알았다.

 

[그림5 - wireshark]

그래서 RAW 모드로 변경하고 다시 저장했다.

 

[그림7 - cce2020.docx]

저장한 파일을 열었더니 flag가 나왔다.

cce2020{baby-shark-doodoodoodoo-wire-shark-doodoodoodoo}