DefCoN#21 #1

📌link: http://ctf-d.com/challenges#DefCoN#21 #1

 💡 Jensen 사건을 맡게 된 Jack과 그의 팀은 Jensen의 회사와 가정에 네트워크 탭과 무선 캡처 장비를 설치했다. 모니터링을 하는 동안 Jack과 그의 팀은 흥미로운 용의자인 Betty를 발견했다. 이 사람은 Jensen 부인이 남편과 바람을 피고 있다고 걱정하는 여자일 수도 있다. Jack은 포렌식 전문가인 당신에게 캡쳐 정보를 자세히 보여준다. 그리고 회의가 진행된다. Round 1 패킷을 사용해서 사건에 대해 자세히 알아보고 다음의 질문에 답하시오.

회의가 예정된 요일은 언제인가?

---

네트워크 포렌식 문제 wireshark을 다운받으면 편하게 pcap문제를 볼 수 있다.

일단 파일을 받아서 wireshark로 열어준다.

 

파일을 열어서 보면 17번패킷에 IRC로 137개의 응답을 주고 받은 것을 확인할 수 있다.

IRC는 규칙과 약속이 관련된 채팅시스템으로 클라이언트/서버 구조의 소프트웨어이다. 즉 채팅 데이터가 기록되어있을 가능성이 높다. IRC은 TCP를 사용하는데 여기서 TCP follow하면 채팅했던 137개의 응답들을 확인할 수 있다.

17패킷 선택 → follow → TCP Stream

 

HTML 인코딩 방식을 사용한 것 같다. html디코더로 해독하면 된다.

https://emn178.github.io/online-tools/html_decode.html

HTML Decode / Unescape

패킷을 봐서 수요일 2시에 만난다는 것을 확인했다.

---

🔑: Wednesday

2023/Mar/15 solved.