Ann과 Mr.X는 새로운 보금자리를 마련했다. 범인 인도 서류가 통과되기를 기다리는 동안 당신과 수사관들은 비밀리에 Ann의 활동을 감시하고 있다. Ann은 최근에 새 AppleTV를 구입했으며, 192.168.1.10의 IP주소를 사용하고 있다.
당신은 Ann이 검색한 내용과 그녀의 관심사에 대해 정보를 수집해야한다.
#4. Ann이 클릭한 첫 영화의 제목은 무엇인가?
라는 문제이다.
와이어샤크 상단의 [File->Export Objects->HTTP] 로 들어가준다. [Export Objects]는 프로토콜 내에서 발생한 패킷 정보 내의 파일을 추출할 수 있는 기능이다. [Export Objects->HTTP]는 캡처된 HTTP 객체를 파일로 추출해주는 기능을 하는 것이다.
이러한 HTTP object list를 확인할 수 있는데, 사용자가 페이지에서 어떠한 활동을 했는지 확인할 수 있다. 이전 3번 문제에서 풀었던 검색내용들(h, ha, hac...)도 보인다. Packet 순서는 시간 순서와 동일하다고 볼 수 있는데, 위에서부터 차근차근 찾아보았다.
URL 주서가 적혀있는 기록들을 기준으로 살펴보면, 처음엔 Movies라는 메인 페이지에 들어갔음을 확인할 수 있고, 그 이후로 차례대로 h, ha, hac hack을 검색했음을 알 수 있다. 검색한 기록들은 Search라는 키워드와 함께 기록되어 있는데, Ann이 실제로 사용한 기록을 봐야하기 때문에 검색기록은 제외하고 봐야한다.
search 키워드 없이 나온 첫번째 웹페이지는 위 사진에 표시된 부분이다. 이 페이지의 전에는 hack을 검색해서 이 페이지로 들어온 기록이 있고, 후에는 store와 downloadKey가 눈에 띄는 페이지에 들어간 기록이 있다. 때문에 이 페이지가 영화를 클릭해서 들어간 기록이 아닐까? 라는 생각이 들었다.
다른 기록들을 보면 sneak을 검색한 후에 아까와 같은 패턴이 반복됨을 알 수 있다. 이도 똑같이 sneak을 검색한 후에 위 사진에 표시된 웹 페이지로 넘어간 것 같은데, 이번에는 US-Sneakers라고 적혀있다. 두 개의 '-' 사이에 들어가 있는 단어가 영화의 제목이라는 감이 딱 왔다!
다시 이전 사진으로 돌아와서 확인해보면, US-Hackers-lain라고 적혀있는데, 두 개의 '-' 사이의 Hackers를 정답란에 입력했다.
그럼 성공~~!
정답: Hackers
'디지털 포렌식(Digital Forensics) > CTF(ctf-d.com)' 카테고리의 다른 글
| [Network] Sans Network Forensic [Puzzle 3] #3 (0) | 2020.10.25 |
|---|---|
| [Network] Sans Network Forensic [Puzzle 3] #2 (0) | 2020.10.01 |
| [Network] Sans Network Forensic [Puzzle 3] #1 (0) | 2020.10.01 |
| [Multimedia] 사진 속에서 빨간색이... (0) | 2020.09.28 |
| [Multimedia] 원래 의미가 없는 것들도… (0) | 2020.09.28 |
댓글