와이어샤크에서 파일 추출을 해보자!

정말 간단한 건데도 개인적으로는 반드시 알고 있어야 하는 스킬중에 하나라고 생각이 드네요.

와이어샤크에서 제공하는 기능으로 pcap파일에서 파일을 추출해 보는 기능을 소개 해 드리겠습니다.

예제는 hack-me.org 사이트 문제로 하겠습니다.

http://hack-me.org/index.php?p=challs&prob=Extract+file+from+pcap

위 주소로 접속하면 문제를 다운받으실 수 있는데, 그냥 다운로드 누르시면 웹에서 열려버립니다.

로컬로 다운받으시기 위해서는 인터넷 임시파일 폴더에서 로컬로 끌어놓으시면 되요 ^^

자 그럼 시작해보죠 ㅎ

해당 파일을 아래와 같이 와이어샤크로 오픈 합니다.

와이어샤크 탭들 중에

[file] -> [Export] -> [Object] -> [http] 로 가시면 아래와 같이 해당 pcap 패킷들 중에 파일에 접근한 기록을 찾아 파일만 따로 리스트화 해줍니다.

이 pcap 파일에는 prob4 파일이 숨겨져 있네요. 저 파일이 본 문제겠죠.

저장은 Save As 버튼을 눌러주시면 됩니다 ^^