와이어샤크로 pcap 파일을 열어보자.
IRC 프로토콜이 사용된 7번 패킷이 눈에 띄는데, 여기에 채팅 데이터가 존재할 거라고 생각된다.
* IRC 프로토콜
Internet Relay Chat. 즉, 실시간 채팅 프로토콜로, 개인 메시지를 통한 1:1 소통, 파일 공유를 포함한 채팅 및 대화 전송이 가능하다.
해당 패킷의 TCP Stream을 Follow해보자.
빨간색 부분은 송신자, 파란색 부분은 수신자를 의미한다.
앞 부분에서는 대화 내용을 확인할 수 있지만, 뒷 부분에서는 대화 내용이 인코딩되어 있는 것으로 보인다.
값이 16진수로 되어 있고, 1바이트마다 특수문자로 나누어져 있는 것으로 보아, html 인코딩이 사용된 것 같다.
* HTML 인코딩
아스키 값을 기준으로 인코딩된다. ex) A(아스키 값 65) -> %#65;
해당 부분을 html 디코딩 해보자.
해결!
'Forensic > wargame & ctf' 카테고리의 다른 글
| [ctf-d] broken (0) | 2022.03.14 |
|---|---|
| [ctf-d] DefCoN#21 #2 (0) | 2022.03.01 |
| [ctf-d] Find Key(Image) (0) | 2022.02.15 |
| [ctf-d] 오른쪽 위의 표지판을 읽을 수... (0) | 2022.02.13 |
| [ctf-d] 이 그림에는 뭔가 좀 수상한... (0) | 2022.02.08 |
