[xcz.kr] 13번 Network Recovery!

문제

파일을 다운로드하면 network_recover 파일을 다운로드할 수 있다. 일단 확장자가 없다.

 

HxD로 열어보자.

 

header 부분을 봤는데 모르겠어 인터넷에 검색을 했다.

 

0A 0D 0D 0A는 Pcapng 파일 / D4 C3 B2 A1은 Pcap 파일이다.

*pcap 와 pcapng 차이점 : 버전이 업그레이드되면서 기능들이 많아지다 보니 이것을 나타내기 쉽게 XML 형태식으로 추가적인 내용들이 들어가는 파일 저장 형식을 pcapng 파일이라 하고 이것보다 기능이 없는 것을 pcap.

 

일단 확장자 명을 pcapng로 바꾸자.

 

Wireshark로 네트워크 통신을 볼 수 있다.

 

하지만 나같은 경우는 좀 더 편한 NetworkMiner을 좋아하기 때문에 이걸 사용할 것이다.

 

일단 pcapng 파일을 pcap로 바꿔주는 작업을 해야한다. NetworkMiner은 이유는 모르겠지만 pcapng 파일은 열리지 않는다.

 

wireshark의 editcap을 이용하여 바꿔줄 것이다.

 

cmd를 관리자 권한으로 실행 후 wireshark 경로로 들어가 

명령어를 입력해주면 pcap파일로 변환해준다.

 

NetworkMiner 파일을 열어준다.

 

파일 부분에 세가지의 파일이 보인다 treasure1.png / treasure2.txt / treasure3.txt

 

파일이 들어있는 폴더를 열어 확인해 본 결과 txt 파일 두 개에는 아무것도 없다.

 

png를 열어보니 검정색으로 된 이미지 파일이 있었다.

 

이걸 HxD에 넣어보았다.

 

header 부분은 시그니처가 맞는데 footer 부분은 아무것도 없었다. 이상하게 생각하고 txt 파일 두 개다 HxD로 열어보았다.

 

treasure3.txt의 파일 마지막 부분에 png 시그니처 footer 부분이 있었다.

 

예상으로는 이제 3개의 파일을 합쳐 하나의 png 파일을 만드는 것 같다.

 

세개를 합치니 플래그가 들어있는 이미지를 얻을 수 있었다.

 

플래그 값 : NET\oRK1sFun 이거인 줄 알았는데 힌트에 보니 md5로 바꾸라고 한다.

 

진짜 플래그 값 : 2f4a11572d9ff67baebdb2f3899d7a84