1. 개요
패킷 덤프, hex editor, 파일 시그니처 문제
2. 분석
1) pcap
pcap 파일을 받으면 zip 파일을 주고 받은 흔적이 있습니다.
다음과 같이 필터걸면 zip 파일 부분만 볼 수 있습니다.
frame contains zip
export objects를 클릭하면,
주고 받은 zip 파일 목록을 확인할 수 있습니다. 총 8개입니다.
save all 누르면 모두 안전하게 export 됩니다.
2) zip 파일 시그니처
zip 파일의 헤더 시그니처는 504b 0304 인데 이상해서 압축 해제가 되지 않습니다.
다시 wirehshark를 보면
stream 순서와 content-Range 순서가 일치하지 않습니다.
진짜 순서를 맞춰서 hex editor로 조립해서 하나의 zip 파일을 만들면 됩니다.
stream - content range -> readl order
0 - 2345-2813 -> 5
1 - 0-468 -> 0
2 - 1407-1875 -> 3
3 - 2814-3282 -> 6
4 - 3283-3744 -> 7
5 - 469-937 -> 1
6 - 938-1406 -> 2
7 - 1876-2344 -> 4
진짜 순서 - 1, 5, 6, 2, 7, 0, 3, 4
3) .psd
압축을 해제하면 .psd 파일을 얻는데 포토샵 설치하지 말고 온라인 툴을 찾아봅시다.
저는 여기서 했고, 2개의 레이어중 흰색만 있는 레이어 지우면 flag가 잘 보입니다.
'[DigitalForensic] with CTF' 카테고리의 다른 글
[DigitalForensic] with CTF - 답을 찾고 제출해라! (0) | 2022.08.21 |
---|---|
[DigitalForensic] with CTF - Find Key(Image) (0) | 2022.08.15 |
[DigitalForensic] with CTF - 저는 이 파일이 내 친구와… (0) | 2022.08.15 |
[corCTF 2022] jsonquiz (0) | 2022.08.14 |
[DigitalForensic] with CTF - DOS 모드에서는… (0) | 2022.08.14 |