Multimedia Forensic #57 그들이 우리의 데이터를...
문제 파일로 shattered.pcapng 파일이 주어집니다.
해당 문제 파일을 확인해보기 위해 와이어샤크 도구를 통해 확인하였습니다.
TCP 프로토콜만으로 전송한 패킷을 확인할 수 있으며, 패킷의 정보를 확인해보면 패킷이 재전송된 것을 확인할 수 있습니다.
그리고 TCP 프로토콜의 시퀀스 번호가 차례대로가 아닌 여기저기 흩어져 있습니다.
TCP 시퀀스 번호의 순으로 패킷을 정렬해야 하지만, 그 전에 와이어샤크 editcap 명령어를 통하여 pcapng 파일을 pcap 파일로 변환해야 합니다.
editcap : 기존 캡처 파일(pcapng)을 정리하고 중복된 패킷을 제거, 패킷 사이즈를 변경하는 등 작업을 하고 다른 캡처 파일로 출력하는 프로그램입니다.
editcap -F libpcap -T ether [변환하고 싶은 pcapng] [변환 할 pcap]
만약 -T로 encapsulation을 지정하지 않으면 에러가 발생합니다.
editcap -F [변환하고 싶은 pcap] [변환 할 pcapng]
반대로 pcap 파일을 pcapng 파일로 변경하고 싶을 때는 다음 명령어를 사용하여 변환시킬 수 있습니다.
변환이 완료가 되면, 이제 tcpflow 도구를 사용하여 문제 파일의 패킷을 TCP 시퀀스 번호 순으로 정렬해야 합니다.
tcpflow : TCP 스트림에서 데이터를 추출하기 위한 전형적인 커맨드 라인 도구로, 와이어샤크의 Follow TCP Stream과 비슷하지만, 모든 스트림에 있는 컨텐츠가 한 번에 추출해 저장됩니다.
다음과 같은 tcpflow의 옵션을 활용하면 TCP 시퀀스 번호를 차례대로 정렬할 수 있습니다.
정렬이 완료가 되면 자동으로 폴더에 TCP 패킷에 존재하였던 여러 데이터들이 카빙이 되어 사진 파일이 생성됩니다.
파일의 포맷을 확인하기 위해, file 명령어를 사용하면 jpg 파일인 것을 확인할 수 있습니다.
(이름이 너무 길어 123으로 변경한 상태입니다.)
사진 파일을 윈도우로 옮겨서 파일의 확장자를 jpg로 바꿔 확인해보면 플래그를 확인할 수 있습니다.
FLAG = unshattered.jpg
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Multimedia Forensic] 플래그를 얻어라! (0) | 2019.11.29 |
|---|---|
| [Multimedia Forensic] 저는 이미지에서 어떤 것을... (0) | 2019.11.29 |
| [Multimedia Forensic] Find Key (docx) (0) | 2019.09.10 |
| [Multimedia Forensic] 주어진 파일들을... (0) | 2019.09.09 |
| [Multimedia Forensic] e_e (0) | 2019.09.08 |