문제파일 확인
문제로는 one_data_one_zip 이라는 명칭의 zip파일이 주어졌고, 내부에는 pcapng파일이 있었다.
pcapng를 NetworkMinor 2.5로 열어보려고 시도했지만 pcapng파일을 열기 위해서는 professional 버전을 구매해야 한다고 하니, pcapng파일을 pcap파일로 변환해주자.
NetworkMinor로 pcap파일을 열어보니 flag.zip파일을 주고받은 기록이 있다. 저번에 NetworkMinor로는 바로 다운로드게 되었는데, 이번엔 추출이 안되었다.
문제파일 내에서 zip파일 추출 후 암호풀기 시도 1 - zip파일 손상으로 인한 실패
문제로 제공된 zip파일의 명칭이 one data_one_zip이니까 그 자체로 flag파일이지 않을까 하는 생각에 hxd로 헥사코드를 확인해봤다. 코드 중간에 zip파일의 헤더시그니처인 50 4B 03 04를 발견하여 푸터시그니처도 찾아보았는데 존재했기 때문에 헤더시그니처(50 4B 03 04)부터 푸터시그니처(50 4B 05 06)까지의 데이터를 카빙해서 maybe.zip으로 저장해주었다.
maybe.zip파일로 저장해준뒤 열어주니 압축파일의 헤더가 손상되었다고 떴지만, 복구모드로 진행하니 암호를 입력하면flag.txt가 나오게 되는 듯 했다.
주고받은 패킷정보에서 비밀번호가 있을 것 같아 NetworkMinor에서 주어진 pcap의 파라미터 값 중에 pass 를 포함하는 값이 있나 검색해보았다. password가 통신과정에서 필요했던 것으로 보이지만, 명시되지 않았을뿐더러 전체 tcp stream을 확인해보면 zip과 별개로 사용된 패스워드였음을 알 수 있었다.
암호를 모르니 advanced archive password recovery 로 비밀번호를 풀어주기 위해 해당 zip파일을 선택했는데, 오류가 발생했다. 분명 zip파일인데 얘는 zip파일아니라고 했다.
그래서 문제로 주어진 파일을 푸는 것을 시도해보았다. 이건 암호화되어있지 않기 때문에 당연히 복호화되지 않았다...
문제파일 내에서 zip파일 추출 후 암호풀기 시도 2 - zip파일 손상 해결 후 flag 확인
손상되지 않은 상태가 되도록 추출하여 maybe2.zip으로 저장해준뒤 열어보았더니 손상되었다는 알림창이 뜨지 않았다. 아무래도 비밀번호가 걸려있는 zip파일은 푸터시그니처 뒤에도 내용이 추가로 붙는 듯 하다.
maybe2.zip파일은 손상되지 않았기 때문에 advanced archive password recovery로 비밀번호를 풀 수 있을 것 같아 시도해보았다.
brute force 공격 결과, 패스워드는 2048이었다.
2048을 패스워드로 입력해주어 maybe2.zip의 압축을 풀고나니 flag.txt를 확인할 수 있었다.
FLAG : N0Named{This_Is_Real_Flag_Congratulations!}
'WarGAME > N0Named Wargame' 카테고리의 다른 글
double pistol 풀이 (0) | 2021.04.27 |
---|---|
[A] 회사 찾기 (0) | 2021.04.02 |
N0Named wargame [A] 수상한 메일 (0) | 2020.11.17 |
[B] 유출된 자료거래사건 (0) | 2020.11.17 |
[Left Side B] (0) | 2020.10.26 |