one_data_one_zip

첨부된 파일 내에 있는 chall.pcapng 파일을 wireshark로 열어주었다.

일단 무엇부터 시작해야될지 전혀 모르겠어 패킷을 살펴보던 중

PASS qazxsw12! 이라는 걸 발견했다.

password로 쓰이지 않을까 싶다.

그리고 flag.zip 이라는 파일에 관한 패킷도 발견했다.

 

FTP는 인터넷을 통해 한 컴퓨터에서 다른 컴퓨터로 파일을 전송할 수 잇도록 하는 방법과 그런 프로그램 모두를 일컷는다고 한다.

(출처 : m.blog.naver.com/PostView.nhn?blogId=kostry&logNo=220899970512&proxyReferer=https:%2F%2Fwww.google.com%2F)

 

이 zip 파일을 열어야되지 않나 싶다.

그러려면 우선 zip 파일을 추출해주어야할 것이다.

 

kthan.tistory.com/entry/%ED%95%B4%ED%82%B9%EB%AC%B8%EC%A0%9C%ED%92%80%EC%9D%B4-KISA-%ED%95%B4%ED%82%B9%EB%B0%A9%EC%96%B4-Network-Lv1-PCAP%ED%8C%8C%EC%9D%BC%EC%97%90%EC%84%9C-IRC-%ED%86%B5%EC%8B%A0-%EB%82%B4%EC%9A%A9-%EB%B6%84%EC%84%9D-%EB%B0%8F-zip-%ED%8C%8C%EC%9D%BC-%EC%B6%94%EC%B6%9C

[해킹/문제풀이] KISA 해킹방어 Network Lv1 - PCAP파일에서 IRC 통신 내용 분석 및 zip 파일 추출

위 글을 참조하며 zip 파일 추출을 시도하였다

 

우선 이 zip 파일과 관련된 패킷을

우클릭-follow-TCP stream해주었다.

그리고 Save as 선택후 hehe.zip으로 저장해주었다.

이제 저장한 zip 파일을 열어주려고 했는데

지원하지 않는 포맷이라구 한다 ㅠㅠ

 

내 생각에는 이 response 패킷 자체를 save as 해야되는 게 아니라,

flag.zip 파일의 패킷만 추출해서 save as 해야되는 것 같다.

그런데 이 STOR flag.zip 패킷에서는 따로 zip 파일 관련된 내용만 따로 추출이 되지 않았다.

 

 

그래서 다시 패킷들을 살펴보았다.

아까는 STOR flag.zip밖에 보이지 않았는데,

생각보다 flag.zip 관련된 패킷들이 많이 보였다.

이 중 첫번째 패킷을 TCP stream 해주었다.

아까보다 더 그럴싸한 내용이 보인다.

앞뒤에 PK가 있어 확실히 zip파일에 대한 내용인 것 같다고 생각되었다.

save as 를 누르고 hihi.zip으로 저장해주었다.

 

그런데 이번에도 지원이 안된다고 그런다.

 

빨간색으로 글자가 표시되어있는게, 뭔가 이상이 있는 듯 싶어 구글링 해보니 

Raw로 show data as를 바꾸고 save as 해보라고 한다.

그렇게 다시 저장해보니 

이렇게 flag.txt 파일이 들어있는 것을 확인할 수 있었다.

 

비밀번호가 걸려있어 아까 찾은 qazxsw12!를 입력해주었다.

근데 안된다 ^^...

 

zip파일의 암호를 풀어주는 툴을 이용해야 되는 것 같았다

advanced-archive-password-recovery.kr.uptodown.com/windows/download

다운로드 Advanced Archive Password Recovery 검색어: Windows 무료 | Uptodown.com

 

파일을 열어주고 start를 눌러주면 이렇게 password for this file 에 대한 정보로 2048 이 나온다 !

 

2048을 입력해주고 나면 flag.txt 파일이 열린다 !

플래그 값을 획득했닥