220320 [vishwa ctf] forensic - so forgetful!

친구가 내 네트워크로 접속하고 비번을 까먹었다고 한다. 

아마도 내 네트워크에 친구의 비번 흔적이 있을 것이고 그것이 플래그일 것이다

고스트 피캡 다운로드

​

피캡파일을 wireshark에서 열어본 화면이다

스크롤을 내리면서 http 패킷들을 보다보면 수상한 112번 줄 발견

url 인코딩 되었다고 한다.

마우스 우클릭 -> follow -> http stream

패킷 살피기

빨간색이 request, 파란색이 response

두번째 문단을 보면 userid~~~ 라고 적힌 부분을 볼 수 있다.

로그인할 때 사용한 아이디와 패스워드가 그대로 노출되고 있음을 확인할 수 있다.

​

현재 url 이 인코딩 된 값이기 때문에 url 디코딩을 해주면 password 값은 다음과 같이 나온다

​

끝부분이 등호로 채워진 암호문인것을 보아 base64 암호문인것을 유추할 수 있다.

바로 base64 로 디코딩 돌리기

​

암호 발견

​

정답