[포렌식] AngstromCTF 2023-Admiral Shark

• [문제]

• [문제풀이]

 

[문제]

I have been snooping on the conversations of my elusive enemies.

See if you can help me gather the information I need to defeat them once and for all.

 

AngstromCTF 2023 - Admiral Shark: https://2023.angstromctf.com/challenges

---

[문제풀이]

 

1) tcp.stream eq 1에서 곧 파일을 보내겠다는 메시지를 확인했습니다.

 

2) 그래서 tcp.stream eq 2로 넘어가서 Raw 형식으로 변환한 뒤 복사해 줬습니다.

 

3) HxD에 붙여 넣은 후 파일 헤더를 확인해 본 결과 JAR 파일 타입인 거 같고 앞에 헤더가 지워져서 조작됐음을 확인했습니다.

*파일 시그니처 확인: http://forensic-proof.com/archives/300

파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF

 

 

4) 50 4B 03 04를 파일 헤더 앞에 붙여 넣어준 뒤 파일 타입을 JAR 타입으로 해서 저장해 줬습니다.

 

5) JAR 파일을 압축을 해제해 주고 폴더를 다 확인해 봤습니다.

 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="2" uniqueCount="2"><si><t>flag</t></si><si><t>actf{wireshark_in_space}</t></si></sst>

 

6) sharedStrings.xml 파일에서 플래그 actf{wireshark_in_space}를 획득했습니다!