M4ndU의 만두만두한 블로그

pcap 파일이 주어진다.

networkminer로 해당 pcap파일을 열어서 messages부분을 확인해보면 문제 지문에서 언급된 betty가 나오는 메세지 내역을 확인할 수 있다.

인코딩된 뒷부분은 그냥 ascii로 변환해주면 된다.

How does Wednesday sound?
Great :) what time?
ah 2pm
Ok, I can't wait!

답은 Wednesday 이다.

해당 메세지들이 어떤 패킷에 어떻게 들어가 있는지를 확인해보기 위해서

wireshark로 먼저 7번 패킷을 확인해 보았다.

IRC 프로토콜을 사용하며, Request/Response형태로 메세지를 주고받는 것을 확인할 수 있다.

패킷 파일이 주어집니다.

처음에 바로 FTP 패킷들이 보이는데, FTP로 파일을 받았는지 확인해봅니다.

Wh1t3H4T.zip 이라는 파일을 전송받았음을 확인할 수 있으며,

해당 파일을 간단하게 추출할 수 있습니다.

해당 파일을 살펴보면, flag.png가 들어있는데 암호화가 걸려있습니다.

패킷 파일에 ftp 패킷 외에도 다양한 패킷들이 담겨 있으니 다른 패킷들을 살펴보겠습니다.

ftp 통신은 192.168.146.1(server) 와 192.168.143.137 (client) 사이에서 이루어졌습니다.

192.168.146.1과 추가적으로 통신을 한 흔적이 있는 지 확인해봅니다.

ftp통신 이후 TLSv1으로 통신을 한 것을 찾을 수 있습니다.

해당 패킷 내용 복호화를 시도하기 위해서 인증서 내용을 추출합니다.

modulus값을 소인수분해할 수 있는지 알아봅니다.

factordb.com에서 factor를 찾을 수 있었습니다.

구한 p, q 값을 가지고 pem파일을 생성합니다.

wireshark에서 Edit > Preferences > Protocols > TLS > RSA key list에 private.pem을 추가합니다.

패킷 내용이 복호화되었으며, pw를 찾을 수 있었습니다.

cat.pcapng 파일이 주어진다.

usb cap이다.

DESCRIPTOR  Response DEVICE 패킷을 확인해보면, wacom 펜 타블렛임을 확인할 수 있다.

tshark를 이용해서 데이터를 추출한다.

tshark -r ./Cat.pcapng -Y 'usb.capdata && usb.data_len == 9' -T fields -e usb.capdata > usbPcapData

데이터는 이러한 구조를 가지고 있다고 한다.

Example:
02:f0:50:1d:72:1a:00:00:12
Bytes:
02:f0: -- Header
50:1d: -- X
72:1a: -- Y
00:00: -- Pressure
12 -- Suffix

x, y 좌표값에 대한 데이터를 추출하여 좌표평면에 표시하면 된다.

z=0 필압이 없는 경우를 제외하기 위해 z값도 추출

awk -F: '{x=$3$4;y=$5$6}{z=$7}$1=="02"{print x,y,z}' usbPcapData > xydata

wacom_decode.py

z가 0인 경우를 제외하며, xy값을 10진수로 표현

python wacom_decode.py > out.txt
gnuplot
plot "out.txt"

png로 export이후 

convert -flop flag.png flag-f.png

이미지 좌우반전