네트워크 포렌식 [FTP -file upload]
오늘은 네트워크 포렌식 문제를 풀어 보려고 합니다.
일단 필요한 프로그램들이 있습니다.
-
메모장
-
WireShark
-
HxD
-
Python
-
woeld
문제를 알아 보겠습니다.
다음 문제는 이렇습니다.
“유출된 파일의 파일명과 파일 내용을 확인하여라.”
그러면 우리는 파일명과 파일 내용을 알면 됩니다.
파일을 다운로드해보면 pcapng 파일인 것을 확인할 수 있습니다.
파일을 확인하려면 WireShark를 켜고 WireShark로 파일을 확인하면 됩니다.
여러 패킷들이 오고 간 것이 보입니다.
그중에서 우리가 제일 먼저 확인해봐야 할 것은 ftp입니다.
다음 확인을 위해 Follow에서 Stream을 누르면 확인이 가능합니다.
그러면 다음과 같이 확인을 할 수 있습니다.
저기서 얻을 수 있는 힌트는 docx 파일입니다.
하지만 파일 확장자는 보이지만 문서의 제목은 확인할 수가 없습니다.
raw값으로 변경을 한 뒤 HxD를 확인하기 위해서 글을 복사해줍니다.
다음 파일 확장자 파일을 바꿔주면 됩니다.
그러면 word 파일로 문서를 열면 키 값을 확인할 수 있습니다.
키 값 : key{s8u9pj5r42qjv63r}
다음 메모장으로 글을 수정을 해줍니다.
문자 앞에 \x 를 붙여서 글을 복사해줍니다.
파일명이 깨져서 우리가 아는 인코딩으로는 파일명을 찾을 수가 없었습니다.
그래서 다음과 같은 인코딩을 사용했습니다.
이제는 다음과 같이 파일명을 확인할 수 있습니다.
파일명은 ‘기업비밀자료(190404).docx 입니다.
댓글남기기