[Sans Forensic Contest Puzzle] #2

틀린 부분이 있다면 언제든지 댓글 남겨주세요! 

 

 

[Sans Forensic Contest Puzzle] #2 문제풀이

 

forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

---

[문제 내용 (답 포함-드래그!)]

 

> 보석으로 석방되었지만 사라진 앤 더 커버를 찾기 위해 패킷 캡쳐 파일을 확인한다

> 앤이 떠나기 전에 비밀 애인인 X씨와 대화를 나눴을 것이라고 생각

> 앤이 이메일을 보내고 어디로 갔는지 파악해야 함

 

1. Ann의 이메일 주소는 무엇입니까?

sneakyg33k@aol.com
2. Ann의 이메일 비밀번호는 무엇입니까?

558r00lz
3. Ann의 비밀 애인의 이메일 주소는 무엇입니까?

mistersecretx@aol.com
4. 앤이 비밀 애인에게 가져 오라고 한 두 가지 물건은 무엇입니까?

A fake passport and a bathing suit
5. Ann이 비밀 애인에게 보낸 첨부 파일의 이름은 무엇입니까?

secretrendezvous.docx
6. Ann이 그녀의 비밀 애인에게 보낸 첨부 파일의 MD5sum은 무엇입니까?

9e423e11db88f01bbff81172839e1923
7. 어느 도시와 국가에서 만남의 장소가됩니까?

Playa del Carmen, Mexico
8. 문서에 포함 된 이미지의 MD5 sum은 무엇입니까?

aadeace50997b1ba24b09ac2ef1940b7  (나의 답은 E3001A972E718AEBB75BA070B1E5434C)

 

 

[풀이]

 

이메일은 SMTP protocol을 사용하여 전송하므로 와이어 샤크에서 SMTP검색 > 오른쪽 마우스 > Follow > TCP stream.

1, 3번의 답

4, 5번 답

패킷의 내용을 확인해보면 1, 3, 4, 5번의 답을 쉽게 찾을 수 있다

 

.eml파일을 mail에서 연 결과

혹은 패킷의 내용을 raw형태로 변환하여 .eml형식으로 저장하면 윈도우의 메일 프로그램에서 열 수 있다 (이 방법을 쓰는게 다음 문제를 푸는데에도 좋음!)

메일의 제목, 보낸 사람, 받는 사람, 첨부파일, 내용까지 모두 알 수 있다

첨부파일은 6, 7, 8번을 풀 때 사용되므로 다른이름으로 저장을 눌러 저장해준다

 

패킷의 내용 중 AUTH LOGIN 이후에 Base64로 인코딩 된 부분이 나오고 AUTHENTICATION SUCCESSFUL이 나온다

이는 LOGIN과 AUTH사이에 로그인 정보가 있음을 추측할 수 있다

 

2번 답

이 내용을 디코딩해 본 결과 password는 558r00lz임을 알 수 있다

 

7번 답

위에서 저장했던 첨부파일 secretrendezvous.docx를 열어보면 만날 장소는 Playa del Carmen, Mexico임을 알 수 있다

 

문서에 저장된 체크섬(MD5sum)을 구하기 위해 HxD를 이용한다

6번 답

첨부파일의 체크섬이 9e423e11db88f01bbff81172839e1923임을 알 수 있다

 

첨부파일 내의 이미지를 따로 저장하여 체크섬을 확인한다

참고로 png 확장자의 head 시그니처는 89 5 4E 47 0D 0A 1A 0A이며

foot 시그니처는 49 45 4E 44 AE 42 60 82이다

8번 답(과 다르다)

이미지를 제대로 저장해서 체크섬 값을 추출했음에도 불구하고 문제의 답과 다르다.. 왜 그런지 아직도 모르겠다(아시는 분 댓글 부탁드립니다!) 중간에 필요하지 않은 값이 들어간걸까?