[Forensic] secret / 100

Download: secret.pcapng

 

PCAPNG 파일을 준다. 분석하면, SMTP 프로토콜로 메일을 주고받는 것이 눈에 띈다.

 

메시지 내용은 다음과 같다.

 

언뜻 눈에 보이는 것은 BASE64 인코딩이라고 생각할 수 있지만, BASE64 디코딩을 해 보면 이상한 값이 나온다는 점에 걸린다. 하지만 저 문자열의 내용을 일부 검색해 보면 다음과 같은 페이지를 발견할 수 있다.

> http://www.stevebunting.org/udpd4n6/forensics/base64.htm

 

요약하면, 해당 텍스트는 BASE64로 인코딩된 zip 파일이며, 따라서 디코딩한 후 raw binary로 받은 뒤 내용을 확인하면 된다.

 

안에는 file 이름의 파일이 있으며 플래그가 들어 있다.

 

FLAG{There_are_a_lot_protocols}