-
Network Forensics Puzzle contest - Puzzle #1: Ann's Bad AIMwargame/Network Forensics Puzzle contest 2025. 12. 31. 15:21
[Puzzle #1: Ann's Bad AIM - forensics]
고전적인 네트워크포렌식 문제이다.
https://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim
Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest
Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company
forensicscontest.com
문제는 위 링크 참고
알아내야 하는 6가지는 아래와 같다.
- IM 친구 이름
- 첫 번째 코멘트
- 전송한 파일 이름
- 파일 시그니처(처음 4바이트)
- 파일의 MD5 해시값
- 파일에 적혀있는 비법
문제를 읽어보니 AIM 이라는 걸 이용해서 풀어야 하는 것 같은데, 뭔지 몰라서 일단 검색부터 해본다.
https://wiki.wireshark.org/AIM
AIM - Wireshark Wiki
AOL Instant Messenger (AIM) XXX - add a brief AIM description here History XXX - add a brief description of AIM history Protocol dependencies TCP: Typically, AIM uses TCP as its transport protocol. The well known TCP port for AIM traffic is 5190. Example t
wiki.wireshark.org
AIM에 대해 알아보니, AIM은 AOL Instant Messenger의 약자로, 예전에 유행했던 1세대 메신저 프로그램 중 하나라고 한다.
즉, 위 Wireshark Wiki에서 언급하는 AIM은 이 메신저가 데이터를 주고 받을 때 사용하는 프로토콜을 의미한다.
추가로, 보통 TCP 5190번 포트를 사용한다고 한다.
일단 Wireshark에서 ip.addr==192.168.1.158 이걸로 검색해서 패킷 분석을 시작할 것이다.
패킷을 우클릭해서 TCP 스트림 따라가기를 누른다.
여기서 바로 1, 2, 3번에 해당하는 답을 알아낼 수 있다.
TCP Stream을 하나씩 넘기다보면 위와 같이 docx 파일이 전송된 패킷을 볼 수 있다.
docx 파일이라 헤더 시그니처(처음 4바이트)가 50 4b 03 04인 것을 확인할 수 있다.
즉, 4번에 해당하는 답도 알 수 있다.
쭉 내려서 푸터 시그니처도 보면 50 4b 05 06인 것을 확인할 수 있다.
현재 16진수 덤프 형식으로 보게 되어있는데 이걸 raw로 바꾸고, 앞서 확인한 헤더 시그니처부터 위 이미지의 빨간색 부분이 나오기 전까지를 모두 드래그해 복사한다.
HxD에 이걸 붙여넣고 .docx 확장자로 저장한다.
저장한 docx 파일을 열어보면 위와 같이 레시피가 나온다.
그럼 이제 6번에 대한 답도 해결한 것이다.
마지막으로 5번에 해당하는 답을 구하기 위해, cmd에서 아래와 같은 명령어로 MD5 해시값을 구한다.
certutil -hashfile [파일경로] [해시알고리즘]최종적으로 문제에서 요구한 6가지의 답은 아래와 같다.
1. What is the name of Ann’s IM buddy?
Sec558user1
2. What was the first comment in the captured IM conversation?Here's the secret recipe (이후 생략)
3. What is the name of the file Ann transferred?
recipe.docx
4. What is the magic number of the file you want to extract (first four bytes)?
50 4B 03 04
5. What was the MD5sum of the file?
8350582774e1d4dbe1d61d64c89e0ea1
6. What is the secret recipe?
Recipe for Disaster:
1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.풀이 완료!