At long last! Here is a copy of Puzzle #7, “Ann’s Dark Tangent,” which was run at Defcon 18 (2010). This contest was unusual in that the answer was a single word. The contest was open to DEFCON 18 attendees who were at the conference. Although the contest has long since closed, you might enjoy playing around with the packet capture, which contains wireless iPad traffic.
Ann has arranged a rendezvous with Dark Tangent. You are the forensic investigator. Can you figure out their destination?
A few notes:
1. You will not get the correct answer simply by running “strings” on the packet capture. It is more complicated than that.
2. Please do not attempt to brute-force the answer by guessing. We reserve the right to cut you off from submitting answers if you abuse the privilege.
해당 패킷을 열면 802.11 프로토콜 무선랜 관련 패킷이 암호화되어 있는 것을 알 수 있습니다.
aircrack-ng 프로그램을 이용해 보면 WEP 암호하 패킷이라고 알려주고 KEY 값을 알 수 있습니다.
-w 옵션을 이용해 찾은 키값을 넣고 복호화를 진행합니다.
IMAP 프로토콜이 보여 이메일 관련 프로토콜이라는 것을 알 수 있습니다.
해당 파일이 base64로 암호화 되어 있는 것을 알 수 있습니다.
[1368 bytes missing in caputre.] 이 부분이 이상한 것을 알 수 있습니다.
이메일을 주고받은 SMTP 프로토콜을 확인합니다.
TCP 스트림으로 보면 Base64 암호화 되어 있는 것을 알 수 있습니다.
Base64 디코딩을 하면 GIF 파일 시그니처를 확인할 수 있습니다.
Base64 암호화된 값을 메모장에 붙여넣고 puzzle.gif로 저장합니다.
puzzle.gif 파일을 업로드한 후 디코딩을 진행합니다.
아래와 같이 이미지를 획득할 수 있습니다.
1. App Store - App Name
HTTP 오브젝트를 보면 App Store는 아인튠즈인 것을 알 수 있고 검색은 solitaire라는 소프트웨어인것을 알 수 있습니다.
2. Podcast Title
팟캐스트는 라디오를 말하는 데 radio를 검색했는데 xml파일이라는 것을 알 수 있습니다.
해당 파일을 xml로 저장하면 Onion Radio News 타이틀을 확인할 수 있습니다.
3. Youtube Video Title
Youtube URL 주소를 확인할 수 있습니다.
http://www.youtube.com/watch?v=DXEG7XH8DOI&feature=youtube_gdata 접속하면 아래와 같이
Cry For Help - Rick Astley 노래가 나오는 것을 알 수 있습니다.
4. Google earth city Name
검색란에 map 단러를 입력하면 goole-earth 패킷을 확인할 수 있습니다.
파일을 열어보면 hacker Valley라는 것을 알 수 있습니다.
5. AIM Buddy name
AIM 관련된 메시지 패킷을 확인할 수 있습니다.
GET 요청에 대한 패킷을 자세히 보면 마지막에 Buddy name이 inter0pt1c을 확인할 수 있습니다.
- Solitaire
- Onion Radio News for Kids
- Cry for Help
- Hacker Valley
- inter0pt1c
정답은 SOCHI입니다.
'포렌식 > SANS Forensic Contest Puzzle' 카테고리의 다른 글
| Puzzle #9: Ann’s Deception (0) | 2026.06.03 |
|---|---|
| Puzzle #8: HackMe, Inc. (0) | 2026.06.03 |
| Puzzle #6: Ann’s Aurora (0) | 2026.06.03 |
| Puzzle #5: Ms. Moneymany’s Mysterious Malware (0) | 2026.06.03 |
| Puzzle #4: The Curious Mr. X (0) | 2026.06.03 |
