다운로드 후 실행
문제에서 볼수있는것은 base64인코딩과 밀접한 관련이 있는것으로 보인다.
SNMP 프로토콜로 통신을 하고 있는데 내부의 내용을 확인해보기 위해서 SMB Object 기능으로 파일을 확인해보았다.
SMB는 네트워크에 연결된 컴퓨터끼리 파일, 프린터, 포트 또는 기타 메시지를 전달하는데 사용된다.
Documents.zip 파일이 보인다.
문제에선 트래픽에 사용자 이름 목록이 있는 것으로 의심한다 하였다.
문서파일에 이름 목록이 있을 가능성이 높으니 Documents.zip 파일을 저장하겠다.
4개의 파일과 ZIP파일이 보인다.
각 폴더에 docx 문서들은 아래 예시와 같이 base64로 인코딩 되어있다.
하나하나 전부 디코딩 해봤다.
GoT Spoilers.docx
North Korea.docx
PiD.docx
Enter the WuTang.docx
The Mystery of Chess Boxing:
(usernames)
Mr. Method
Kim Ill-Song
Mr. Razor
Mr. Genius
Mr. G. Killah
Matt Cassel
Mr. I. Deck
Mr. M Killa
Mr. O.D.B.
Mr. Raekwon
Mr. U-God
Mr. Cappadonna (possibly)
John Woo?
Mr. Nas
여러개의 사용자이름이 나오게되는데 사진파일들을 찾아보면 North Korea의 국기가 나온다
그러면 사용자는 North Korea 사람이아닌가 의심이 간다.
그래서 많은 이름들중에서 Kim Ill Song이 의심된다.
'CTF > Forensic' 카테고리의 다른 글
| DefCon#22#3 (0) | 2021.03.20 |
|---|---|
| DefCon#22#2 (0) | 2021.03.10 |
| DefCon#21#8 (0) | 2021.03.07 |
| DefCon#21#7 (0) | 2021.03.05 |
| DefCon#21#6 (0) | 2021.03.05 |