IT EVERYTHING

DNS 스푸핑이란?

DNS는 Domain Name Service/System 의 약자로, 사용자가 원하는 사이트로 연결을 요청하면 도메인을 해당 사이트의 IP주소로 변환해주는 서비스를 뜻한다. 

DNS 스푸핑의 공격자는 사용자 컴퓨터에서 전달되는 요청 내용을 중간에서 탈취하고 변조하여 악성 사이트로 유도하는것을 말한다. 

DNS 서버가 해킹되어 사용자 컴퓨터 내에 저장되어 있는 DNS를 바꿔 치기 하는 경우, 가짜 웹사이트에서 사용자가 입력하는 정보를 탈취하는 파밍 공격으로 이어지기도 한다.

힌트 1 : 외국어

힌트 2 : key 값은 대문자

nutantvictorantjackassowlantlambpighorseantbearelkturkey

이렇게 있다.

뭔가 사이사이 아는단어가 있어서 잘라서 읽어야 되지 않을까 라는 생각을 해본다.

그래서 이렇게 나눠서 한 단어씩 대문자로 넣어보았지만 틀렸다고 한다.

그래서 혹시나 하는 마음에 앞글자만 따서 대문자로 바꿔서 넣어보았더니 맞다고 한다.

AUTH KEY : NAVAJOALPHABET

다운로드 파일은 network_recover이라는 파일이다.

hxd로 열어 본 결과

헤더가 0A 0D 0D 0A인 파일이다. 이 파일은 pcapng 파일이다.

Pcapng 파일이란 ? 

pcapng 파일 형식은 기존의 pcap을 발전시킨 파일 형식이다. 추적 파일의 패킷과 추적 파일 설명 같은 메타데이터, 지역 인터페이스 세부 정보, 그리고 지역 IP 주소를 저장하는 기능을 갖추고 있다.

이 파일이 pcapng 파일이란 것을 알았으니까 확장자를 pcap로 바꿔줘야 한다.

그리고 wireshark로 열어주자

wireshark 란?

자유 및 오픈 소스 패킷 분석 프로그램이다. 크로스 플랫폼으로, Qt 위젯 툴킷을 이용하여 사용자 인터페이스를 제공하며, pcap을 이용하여 패킷을 포획한다. 리눅스 , 맥 OS X, BSD, 솔라리스를 포함한 다양한 유닉스 계열 운영 체제와 마이크로소프트 윈도에서 동작한다.

밑으로 죽 내리다 보면 98번째 패킷에서 XCZXCZ/index.html HTTP/1.1 이 보일것이다. 

그리고 114 번째 패킷을 보면 png 파일을 하나 GET 하는것이 보인다.

데이터를 한번 확인해보는것이 좋을 것 같아서 98번 패킷을 Export Objects > Http를 눌러주고 폴더를 지정해 저장을 하였다.

파일은 총 6개가 주어진다

%5c , favicon , index , treasure1, treasure2, treasure3

treasure1, treasure2, treasure3 세 개의 파일이 중요한 것 같다

hxd 에 treasure1을 넣어보았다. 

treasure1 은 png 파일인 것 같다.

treasure1의 푸터는 

없었다...

png HEADER는 89 50 4E 47 0D 0A 1A 0A ,

FOOTER는 49 45 4E 44 AE 42 60 82이다. 

treasure2 파일을 보자

treasure2 파일은 헤더와 푸터가 없는 것이 보인다.

treasure3 파일은

header는 없었지만 footer는 없었다. 아마 파일 한 개가 세 개로 분리된 게 아닌가 싶었다.

그래서 하나로 합쳤다.

합치게 되면 NET\oRK1sFun이 나온다.

하지만 이것을 md5으로 바꾼뒤 소문자로 한번 더 바꿔주면

2f4a11572d9ff67baebdb2f3899d7a84 이것이 나온다.

md5란?

md5는 128비트 암호화 해시 함수이다. RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다.

http://www.convertstring.com/ko/Hash/MD5

다운로드를 하면 이런 mp3파일이 나온다. 

이런 파일을 디코드 하라고 한다.

스테가노그래피에서 툴은 몇 가지 있지만 대표적인 툴은

OpenStego , OpenPuff 2가지가 있다.

그래서 툴을 OpenPuff을 사용하라는 것을 바로 알았다.

밑에는 OpenPuff를 다운로드하는 링크다

https://embeddedsw.net/OpenPuff_Steganography_Home.html

다운로드하면 이런 화면이 뜨는데 디코드를 해야 되니까 Unhide를 눌러준다.

이런 화면이 뜬다.

힌트를 하나밖에 모르기 때문에 Enable b와 c를 체크 해제를 시켜주고 

A에다가 OpenPuff를 넣어준다.

그리고 Add Carriers에다가 아까 다운받은 음악파일을 넣어준다.

그리고 Bit selection options - Mp3 (Audio) - 1/8(12%) - Minimum

Auth key : OPEN_ChronoTrigger1995_PUFF

파일을 다운받아보면 

이렇게 엑셀 파일이 나온다. 하지만 들어가 보면 암호가 걸려져 있다.

이미 TITLE 에 나와있든이 브루트 공격을 해야 하는 것임을 예상했다. 

그래서 FreeWordExcel 을 사용했다.

http://www.freewordexcelpassword.com/

Select a password protected file 에다가 다운받은 파일을 넣은후

Brute Force Attack 을 눌러주고 나서 , next 를 눌러주면 

암호가 ex72인걸 알수가 있다. 

그러면 엑셀 파일 안에 들어있는 내용은

key 1s 6r6t3f0r7e 이기 때문에 

AUTH KEY 는 6r6t3f0r7e 이다.

Brute Force 공격이란 ?

브루트 포스, 또는 '무차별 대입' 공격은 가능한 모든 암호 조합을 무차별 시도하는 다소 기초적인 방식의 해킹 공격이다.

공격자들은 대입에 소요되는 시간을 줄이기 위해 사전에 있는 단어를 우선 시도하는 '사전 공격'을 수행하기도 한다.

인가되지 않은 사용자의 접근이 가능해 질 수 있으므로 브루트 포스 공격에 대비한 암호 생성 및 공격 사전 차단이 필요하다.

저 사진을 자세히 들여다 보면 가운데에 이상한게 있다

그림판에다가 옮긴후 확대를 해본 결과

이런게 있었다. 

이 문제는 RGB 코드를 읽을 수 있냐 없냐 그 문제인 거 같았다.

그래서 하나하나씩 알아보았다.

113 145 171 40 151 163 40 143 157 154 60 122 103 60 114 50 51 162 가 나온다.

ASCII 코드 인줄 알았지만 아니었다.

이건 8진수 이기 때문에 8진수를 텍스트로 변환해주는 걸 사용하면

Key is col0RC0L()r 가 나온다.

https://www.browserling.com/tools/octal-to-texthttps://www.browserling.com/tools/octal-to-text

저 파일을 다운받아보면 cw.zip 파일이 나오게 된다. 그리고 하나하나 사진들을 찾아보자

첫번째 사진은

구글에 SMALLTALK-80 이라고 쳐봤자 뭐 나오는게 없습니다.

그리고 나머지 사진들도 다 힌트가 주워지는게 없습니다. 그래서 AUTH 에다가 SMALLTALK을 넣어보자 정답이라고 나왔습니다.