Easy 난이도를 넘어서 이번엔 Medium레벨의 챌린지로 넘어갔다
Wireshark에 pcap 파일을 로드해서 악성 네트워크 트래픽 분석을 해보자
Tryhackme vpn에 연결해서 가상머신에 연결한 환경에서 진행했다
1. What was the date and time for the first HTTP connection to the malicious IP?
1. 필터에 http 적용
2. 시간순으로 정렬
3. 하단 섹션의 arrival time 에 있는 시간 확인
2. What is the name of the zip file that was downloaded?
같은 네트워크 파켓의 HTTP 섹션을 살펴보자
GET 메소드를 사용해서 documents.zip 파일을 다운로드 받은게 보인다
3. What was the domain hosting the malicious zip file?
위의 사진에서 request URI 을 보면 attirenepal.com
4. Without downloading the file, what is the name of the file in the zip file?
TCP Stream follow를 해보자
파일 다운로드하지 말고 진행하라니까 정적분석을 요구하는듯
인코딩된 아래 부분을 보니 xls 형식의 파일을 찾았다
5. What is the name of the webserver of the malicious IP from which the zip file was downloaded?
zip 파일 다운로드가 진행된 웹서버를 알 수 있다
server: LiteSpeed
6. What is the version of the webserver from the previous question?
웹서버 버전이라고 대놓고 적혀있지는 않지만 PHP가 웹 서버에 사용되니까
PHP/7.2.34가 정답아닐까?싶었는데 맞혔다
Vm 사용시간이 만료돼서 다음 문제들은 나중에..
'Writeup' 카테고리의 다른 글
| [Tryhackme] Bounty Hacker Writeup (1) | 2025.05.02 |
|---|---|
| Lab: SSRF with blacklist-based input filter 필터링 우회 Writeup (0) | 2025.05.01 |
| [Tryhackme] Classic Passwd 리버싱 챌린지 Writeup (1) | 2025.03.22 |
| [Hackthebox] Flag Command - Cyber Apocalypse 2024 CTF Writeup (0) | 2025.03.19 |
| [HackTheBox] Sherlock Brutus 리눅스 로그파일 분석 Writeup (0) | 2025.03.19 |