2018-12-10

pcap 파일 분석

Wireshark Conversation 확인

ID : sneakyg33k@aol.com
passwd : 558r00lz
팔로우 해보면 id와 passwd 그리고 전송파일이 base64로 인코딩되어있는것을 확인할 수 있다.
base64로 decode하면 id, passwd 그리고 파일이 나오게 된다.

http object list에 들어가면 sdfg.jar 파일과 q.jar 파일이 있는것을 확인할 수 있다.
85번라인을 팔로우스트림해보면 sdfg.jar의 파일 시그니처를 확인할 수 있다.
98라인도 팔로우스트림 하면 q.jar의 파일 시그니처를 확인할 수 있다.
RAW로 변경후 저장
그리고 Hxd로 열어서 PK 파일 시그니처를 찾고 삭제한다.
q파일도 마찬가지로 삭제해준다.
저장 후 파일 확장자를 맞게 변경해주면 파일 내용 확인이 가능하다.

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다