728x90
반응형

pcap파일이 주어진다.

 

networkminer로 messages탭을 살펴보면

이메일 내용을 확인할 수 있다.

 

snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.

따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.

 

Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.

172.29.1.23에서 172.29.1.20로 직접 전송되었다.

 

해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.

728x90
반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 3] #1~#6]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
D - CTF [tom-and-jerry]  (0) 2021.07.04

+ Recent posts