[cce2020] forensic - [하] sharkme
2020. 9. 26. 17:16ㆍContest/cce2020
문제 첫 화면이고 비밀 문서가 해커에 의해 유출됐다. 유출된 문서를 조사하라는 문제다.
하단의 pcap 파일을 다운로드 해서 열어봤다.
파일이 유출됐으니까 ftp 프로토콜만 필터링 했다. 훑어보다가 'cce2020.docx' 파일이 유출된 흔적을 발견했다.
ftp-data로 다시 필터링 했더니 파일이 전송됐음을 확인했다.
그림3의 패킷을 TCP Stream으로 열어서 파일 시그니처를 확인하고, 저장한 파일을 열었는데 열리지 않았다.
구글링 해보니까 저장할 때 RAW 모드로 저장해야 된다는 것을 알았다.
그래서 RAW 모드로 변경하고 다시 저장했다.
저장한 파일을 열었더니 flag가 나왔다.
cce2020{baby-shark-doodoodoodoo-wire-shark-doodoodoodoo}
'Contest > cce2020' 카테고리의 다른 글
[cce2020] forensic - [하] simple memory (0) | 2020.09.26 |
---|---|
[cce2020] web - [하] easy sqli (0) | 2020.09.26 |