문제

사건을 수락해 주셔서 감사합니다. 우리의 러시아 동지는 스노든이 발표 한 문서에서 2015 체스 복싱 세계 타이틀과 관련된 뇌물에 관한 정보가 포함되어있을 것이라고 밝혔다. 우리는 스노든의 트래픽을 감시해 왔고, 관련된 모든 사람을 알아야합니다. 사용자 이름 목록이 있는 것으로 의심되며, 목록의 두 번째 이름이 누구인지 알고 싶습니다. 이 폴더에 있는 Round1 패킷 캡처를 사용하여 사례에 대해 자세히 알아보고 다음 질문에 답하십시오. 사용자 이름 목록에서 두 번째 이름은 무엇입니까?

Hint : 너의 모든 base64는 우리에게 속해있다.

---

패킷의 수는 30775개다. 패킷을 훑어보니 SMB프로토콜로 파일을 송수신한 흔적이 있다.

SMB 프로토콜 : Server Message Block.
SMB는 네트워크 상 존재하는 노드들 간에 자원을 공유할 수 있도록 설계된 프로토콜이다. 주로 네트워크에 연결된 컴퓨터끼리 파일, 프린터, 포트 또는 기타 메시지를 전달하는데 사용된다

SMB 프로토콜 패킷을 추출하기 위해 File - Export Objects - SMB 선택한다.

그리고 문제에선 트래픽에 사용자 이름 목록이 있는 것으로 의심한다 하였다.
문서파일에 이름 목록이 있을 가능성이 높으니 Documents.zip 파일을 저장하겠다.

파일은 4개의 폴더와 1개의 압축파일로 이루어지고 각 폴더에는 docx 문서가 있다. docx 문서들은 아래 예시와 같이 base64로 인코딩 되어있다.

각 docx문서의 base64를 디코딩하겠다.

Actual Documents\GoT Spoilers.docx

결과

Enter the WuTang\track6.docx

결과

문서들을 계속 디코딩한 결과 사용자 이름 목록으로 의심되는 문건을 찾았다.
해당 문서는 Enter the WuTang\track6.docx 문서이며 목록의 두번째 이름은 Kim Ill-Song이다.

정답

Kim Ill-Song

---

본 글은 http://www.ctf-d.com/challenges 문제를 풀이합니다.