이것저것 하다가

요즘에는 제목대로 이것저것 합니다.

기업용 홈페이지 개발, 통기타, 포렌식 등등... 하는 건 많은데 아직 결과물은 딱 없네요 ㅎㅎ

 위 항목들을 하던 중 쉴겸 CTF 문제를 한번 봤습니다.(풀이가 아님 ㅠㅠ)

 Sun2Day님이 주신 secuinside 문제중에서 hard라는 파일을 한번 봤습니다.

디스크지니어스라는 프로그램으로 한번 봤는데, 각 폴더에 pcap 파일들이 많은 것을 볼 수 있었습니다.

위 사진 처럼 무수히 많은 폴더와 무수히 많은 pcap들이 전체에 걸쳐 퍼뜨려져(?) 있는데요.

다 로킬로 복사해서 보기도 뭐하고 해서 저 파일들이 뭔지 대충 파악하려고 $MFT 파일을 복사해서 워드패드로 열어보았어요.

pcap파일들 보던 중, 한가지 이상한 점을 발견!!

모든 pcap 파일에는 Zone Identifier가 있었는데 map.pcap이란 곳에는 없었어요.

Zone Identifier는 디폴트로 써지는걸로 알고 있는데... 없는 거 보면 뭔가 수상하죠.

그래서 해당 파일을 분석해 봤죠.

어떤 파일에 접근하지 않았나 해서 보니 아래와 같이 별거 없더라구요.

 
다시 처음부터 TCP 프로토콜부터 분석해봐야겠어요

 

잉.. map_pack.exe ????? 맵핵??

TCP 프로토콜 패킷만 보이게 필터한 후에 패킷들을 주욱 보다보면 얼마 안가서 저런 패킷이 보여요.

저 패킷 다음을 보면 아래와 같이 나와요.

 
이럴수가.. exe 파일 헤더가 보이네요. 더군다나 이 패킷 밑으로는 TCP 헤더중 win 부분을 보면 프로그램 크기가 fragment 되어 설정되있는걸 볼수있어요.

이것들을 추출하면 되겠네요.

Save As 버튼을 눌러 저장하면......................................

아 놔 ㅡㅡ;; 

프로그램 동작방식이 포트를 열고 뭘 하나봐요.....

무튼 전 이런 환경때문에 여기까지만 풀었네요... 물론 악의적인 행동은 하지 않겠지만, 찝찝해서요 ㅎㅎ;;

이상 잡설이었습니다 (__)