WARGAME/forensicscontest

Puzzle #2: Ann Skips Bail

daydreamtalker 2024. 5. 5. 23:06

Problem

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.

“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”

You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:

  1. What is Ann’s email address?
  2. What is Ann’s email password?
  3. What is Ann’s secret lover’s email address?
  4. What two items did Ann tell her secret lover to bring?
  5. What is the NAME of the attachment Ann sent to her secret lover?
  6. What is the MD5sum of the attachment Ann sent to her secret lover?
  7. In what CITY and COUNTRY is their rendez-vous point?
  8. What is the MD5sum of the image embedded in the document?

저번에 사건으로 앤이 잡혀갔다가 보석금으로 풀려났는데 앤이 사라졌고 경찰은 앤의 네트워크 활동을 주의깊게 살펴보고 있는 상황. 앤이 떠나기 전 비밀 연인 사이인 X와 연락했을 것이라고 믿고 패킷을 살펴보기로 한다. 앤이 이메일로 무엇을 보냈는지, 어디로 갔는지 파악하고 다음을 포함한 증거를 복구하는 것이 목표.

Explanation

1. 앤의 이메일 주소는 무엇인가?

TCP Stream을 통해 쉽게 확인이 가능하다.

TCP Stream을 통해 쉽게 확인이 가능하다.→ sneakyg33k@aol.com

2. 앤의 이메일 비밀번호는 무엇인가?

위 스크린샷을 보면 맨 처음 로그인에 대한 정보를 얻을 수 있다. 하지만 암호화가 되어 있는 듯 하다. 잘 보면 암호화 된 글자 맨 뒤에 = 가 있음으로 base64로 encoding 되었다고 판단했다.

VXNlcm5hbWU6 → Login:

c25lYWt5ZzMza0Bhb2wuY29t → sneakyg33k@aol.com

UGFzc3dvcmQ6 → password:

NTU4cjAwbHo= → 558r00lz

3. 앤의 비밀 애인의 이메일 주소는?

Ann’s secret lover’s 는 미스터시크릿 엑스 이다…. mistersecretx@aol.com

4. 앤이 비밀의 연인에게 가져오라고 말한 두 가지 물건은?

처음 TCP stream 으로는 알 수 없다. TCP stream 1 으로 돌려봤더니 보인다 → fake passport and a bathing suit

5. 앤이 비밀의 연인에게 보낸 첨부파일의 이름은?

secretrendezvous.docx

 

7. 그들의 랑데부 지점은 어느 도시와 국가인가?

랑데-부, rendez-vous
1. 특정한 시간과 장소에서 밀회하는 것, 특히 남녀 간의 만남을 이르는 말.

랑데뷰 장소가 뭐지 하다가 랑데뷰 자체가 밀회! 라는 것을 알았따!! 대단한 앤과 미스터시크릿X!!!

아까 찾은 랑데뷰.docx 파일을 추출해야한다. docx의 파일 시그니처는 PK 인데 PK를 찾아볼 수 없었ㄷㅏ. 대신 UEsDBB~로 시작하는 이상한 문구를 볼 수 있는데 아까 Login & Passwd가 Base64로 encoding 되어있는 것이 생각나서 이 문구고 base64 decoder로 돌려보았다.

 

UEs = base64로 encoding 된 PK.

secretrendezvous.docx 문서 hex 전체가 base64 로 encoding 된 것 같다. rendwzvous.eml 파일을 추출하고 HxD로 열었다.

 

UEs가 base64로 PK라는 것을 알았으니 그 부분을 남기고 위로 전체 삭제해서 저장한다.

 

base64 decoder에 들어가서 파일 전체를 해독한다. 새로운 파일을 다운받으면 docx 파일로 열린다.

 

Mexcio, Playa del Carmen 가 밀회 장소라는 것을 알아냈다.

저작자표시 비영리 변경금지