사진파일을 윈헥스로 열어보면
맨 뒤에 뭔가가 보인다.
2hihi_Network.pcapng
pcapng라는 확장자가 실제로 와샼의 파일캡쳐의 확장이라고 한다.
뭐 여튼 이 문자열을 한번 검색해보면 다른 한 곳에 한번 더 보인다.
이부분
여튼 스테가노그래피이던 아니면 웹상에 저 pcapng파일을 받을수 있던지
둘중 하나다.
캡쳐파일이 필요한 듯 하다.
스테가노그래피 풀어주는 툴이라 해서 써봣는데
별 느낌이 없는거 같음
느낌엔....저 해상도에 563키로면 사진안에 숨겨져 있진 않을 필인데...
아직 확실히는 모른다
7시가 넘었도다...
난 자러 가보겟소
솔직히 열심히 햇소 ㅋㅋㅋㅋㅋㅋ
이따봅시다
아하 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
오키 잘자요
사진 뒤에 PK있음 이건 압축파일임
추출함
<<ext.zip>>
<<2hihi_Network.pcapng>>
압축파일과 그 압축파일에서 끄집어낸 파일 헤헤
와샥으로 잘 열려요 ~
분석 rr
Ftp 통신을 한다. 이거 hint.txt를 다운받는데 이걸 찾는다
이걸 추출해서 메모장으로 연다
헤헤 끝낫다
2번째 디렉토리명
forensic
network 둘 중 하나
비밀번호
im@@UseR
Arp 스톰을 하는 것으로 보인다
00:0c:29:52:bb:4b
000c2952bb4b
다시 조합
공격자의 mac주소_피해자의 ftp 비밀번호_2번째 디렉토리명
000c2952bb4b_im@@UseR_forensic
틀렷대 뭐지?
맥주소 다시보기
000c296cd1b9_im@@UseR_forensic
Ftp-data 통신의 주체인
목적지를 보면 된다.. ;;
즉
00:0c:29:f3:cd:ea
임
000c29f3cdea
답은
000c2952bb4b_im@@UseR_forensic
계속 틀렷대 뭐지.. 아아
아 배이스64 안함
ㅇ러ㅏㅁ너라ㅣㅇㄴㅁ
오키 다시
근데 다틀렷데!!!!!!!!!!! 뭐지 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
러아넘라디ㅓㅏㅣㅓㅏㅣ러ㅏㅣ
52bb4b 133 143
6cd1b9 130
c00008 1
f3cdea 133
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ정부다 안됨ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
b 143,133,130
52bb4b
on
5
130
bedroom
40
133 0000081
Hadean *s
IP스푸퓡을 하고 있는 것이 확실하다
52bb4b가!
근데, 안되!!! ㅠㅠ
답이 읍써 ..
내가 답으로 유추하는 것
base64
000C2952BB4B_im@@UseR_forensic
MDAwQzI5NTJCQjRCX2ltQEBVc2VSX2ZvcmVuc2lj
000C2952BB4B_im@@UseR_network
MDAwQzI5NTJCQjRCX2ltQEBVc2VSX25ldHdvcms=
근데 안됨 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 아 맨붕 더 이상 진행 불갘ㅋㅋㅋㅋㅋㅋㅋ
00-0C-29-52-BB-4B_im@@UseR_forensic
MDAtMEMtMjktNTItQkItNEI=_aW1AQFVzZVI=_Zm9yZW5zaWM=
00-0C-29-52-BB-4B_im@@UseR_network
MDAtMEMtMjktNTItQkItNEJfaW1AQFVzZVJfbmV0d29yaw==
.
.
.
.
.
.
.
.
.
..
.
.
.
한참후에…성공함;;;
솔직히 그만하려다가 오기가 생겨서 일단 이문제까진 풀었다.
이번 문제도 개오바였다
힌트에 XX-XX-XX-XX-XX-XX
이렇게 나왔다. 맥주소를 -로 표현하다니...
그리고 x가 대문자여서 대문자로 열심히 base64를 돌렸다.
사실 답은 다 맞았다. 하지만 저렇게 변환하니 당연히 안되지...
한참후에 힌트가 정정되었다. 죄송하댄다.
xx:xx:xx:xx:xx:xx
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
이제 제대로 햇나 보다... 이번엔 소문자네? 이건 규약이다. 대소문자를 구별하는
근데 역시나 ㅋㅋㅋㅋㅋㅋㅋㅋ
답은 대문자였다 ㅋㅋㅋㅋㅋㅋ
아낰ㅋㅋㅋㅋㅋㅋㅋㅋ허스트 정말 왜이랰ㅋㅋㅋㅋㅋ
여기서 정말 풀기 싫어졌다.
