Download: secret.pcapng
PCAPNG 파일을 준다. 분석하면, SMTP 프로토콜로 메일을 주고받는 것이 눈에 띈다.
메시지 내용은 다음과 같다.
언뜻 눈에 보이는 것은 BASE64 인코딩이라고 생각할 수 있지만, BASE64 디코딩을 해 보면 이상한 값이 나온다는 점에 걸린다. 하지만 저 문자열의 내용을 일부 검색해 보면 다음과 같은 페이지를 발견할 수 있다.
> http://www.stevebunting.org/udpd4n6/forensics/base64.htm
요약하면, 해당 텍스트는 BASE64로 인코딩된 zip 파일이며, 따라서 디코딩한 후 raw binary로 받은 뒤 내용을 확인하면 된다.
안에는 file 이름의 파일이 있으며 플래그가 들어 있다.
FLAG{There_are_a_lot_protocols}
'ICEWALL' 카테고리의 다른 글
| [Web] resume / 100 (0) | 2019.07.22 |
|---|---|
| [Forensic] backdoor / 200 (0) | 2019.07.22 |
| [Forensic] sniffing / 80 (0) | 2019.07.22 |
| [Forensic] image / 50 (0) | 2019.07.22 |
| [Reversing] antidbg / 350 (0) | 2019.07.21 |
