[포렌식] Puzzle #2: Ann Skips Bail

vinn👩‍💻 2024. 11. 12. 01:02

2024. 11. 12. 01:02

728x90

[문제]

https://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town. “We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the pol

forensicscontest.com

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.

“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”

You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:

1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?

[문제 풀이]

1. What is Ann’s email address?

먼저 TCP stream을 열어 내용을 살펴보니 메일의 내용을 담긴 데이터를 확인할 수 있었습니다. 메시지 내용 시작 부분에 From: "Ann Dercover" <sneakyg33k@aol.com>을 발견할 수 있습니다.

▶ neakyg33k@aol.com

2. What is Ann’s email password?

SMTP는 base64인코딩 방식을 사용하는데, 상당 부분에 내용을 디코딩하니 먼저 로그인을 요청을 하고NTU4cjAwbHo=입력 후에 235 AUTHENTICATION SUCCESSFUL로그인이 성공됐다는 메시지를 통해 이 부분이 패스워드라 생각하고 디코딩해보니 558r00lz 패스워드를 알게 되었습니다!

▶ 558r00lz

3. What is Ann’s secret lover’s email address?

첫 번째 문제처럼 메일 상단 부분에서 To: <sec558@gmail.com>을 발견할 수 있었습니다.

▶ sec558@gmail.com

4. What two items did Ann tell her secret lover to bring?

다음 스트림으로 넘어가서 메일 내용을 분석해 보니 Bring your fake passport and a bathing suit. 메시지를 주고받은 것을 확인했습니다.

▶ fake passport and a bathing suit

5. What is the NAME of the attachment Ann sent to her secret lover?

마지막 부분에 Ann이 보낸 파일의 이름을 확인할 수 있었습니다.

▶ secretrendezvous.docx

6. What is the MD5sum of the attachment Ann sent to her secret lover?

그다음에는 NetworkMiner 분석 툴을 이용해서 분석을 했고 파일 중에 secretrendezvous.docx MD5을 쉽게 확인할 수 있었습니다.
NetworkMiner 다운로드 사이트

▶ 9e423e11db88f01bbff81172839e1923

7. In what CITY and COUNTRY is their rendez-vous point?

Open file 옵션을 이용하여 바로 파일을 열어서 확인하니 위치 정보를 바로 알아냈습니다.

▶ Playa del Carmen, Mexico

8. What is the MD5sum of the image embedded in the document?

처음에는 그냥 파일의 이미지를 따로 저장해서 md5 체크섬을 했는데 답을 확인하니 그렇게 구하면 값이 다르게 나온다고 해서 다른 방법으로 압축을 하고 압축해제하면 media에서 이미지 파일을 확인할 수 있다고 해서 시도했지만 저는 이미지 파일이 나오지 않아 다른 방법을 시도했습니다.
먼저 docx파일을 html 확장자로 바꿨더니 폴더 하나가 더 생겼고 그 폴더 안에 이미지를 발견할 수 있었습니다.

그다음 image001.png의 MD5 값을 알아냈습니다.
윈도우는 cmd로 알아낼 수 있습니다. [Windows 명령어]: certutil -hashfile [filename] [Hashalgorithm]
문제는 image파일의 md5sum을 알아내야 하기 때문에 certutil -hashfile image001.png md5을 입력해서 마지막 문제까지 해결했습니다!

▶ aadeace50997b1ba24b09ac2ef1940b7

'보안 > CTF' 카테고리의 다른 글

[리버싱] \| [드림핵] rev-basic-1 (0)	2024.11.17
[리버싱] \| [드림핵] rev-basic-0 (2)	2024.11.14
[포렌식] \| [E-COPS] Where Am I (0)	2024.10.14
[포렌식] \| [E-COPS] profile_sample (0)	2024.10.14
[포렌식] \| [E-COPS] hidden_swan (0)	2024.10.14

윱