반응형
pcap파일이 주어진다.
networkminer로 messages탭을 살펴보면
이메일 내용을 확인할 수 있다.
snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.
따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.
Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.
172.29.1.23에서 172.29.1.20로 직접 전송되었다.
해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.
반응형
'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글
CTF-D [Sans Network Forensic [Puzzle 3] #1~#6] (0) | 2021.08.04 |
---|---|
CTF-D [Sans Network Forensic [Puzzle 3] #1~#8] (0) | 2021.07.08 |
D-CTF [DefCoN#21 #1] (0) | 2021.07.06 |
D-CTF [Find Key(WhiteHat)] (0) | 2021.07.04 |
D - CTF [tom-and-jerry] (0) | 2021.07.04 |