[forensic contest] Ann Skips Bail

https://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

 

1. Ann's email address

처음 tcp stream을 follow 하면 다음과 같이 나온다.

이때, 중간에 from: Ann Dercover <sneakyg33k@aol.com> 이 보이는데 이게 Ann의 이메일으로 보인다.

 

2. Ann's email password

같은 tcp stream에서 윗부분을 보면 로그인 하는 부분이 보인다.

 

이때 컴퓨터는 ann의 컴퓨터로 보이고, 로그인 내역이 보인다.

Username: c25lYWt5ZzMza0Bhb2wuY29t

Password: NTU4cjAwbHo=

이렇게 나와있는데 base64 decoding을 하면 다음과 같이 나온다.

Username: sneakyg33k@aol.com

Password: 558r00lz

 

3. Ann's secret lover's email address

tcp stream 1을 따라가다 보면 이렇게 내용이 보인다.

 

이때 이메일의 내용으로 hi sweetheart! 가 보이므로 Ann의 lover로 생각을 할 수 있다. 

이 이메일을 받는 사람의 메일주소는 mistersecretx@aol.com이라고 나와있다.

 

4. Ann 이 secret lover 한테 가져오라고 한 두 아이템

위 이메일의 내용을 보면 fake passport랑 bathing suit 가져오라고 나와있다.

 

 

5. What is the NAME of the attachment Ann sent to her secret lover?

동일한 이메일을 밑으로 내리면 다음과 같이 보인다.

이때, attach 된 file명은 secretrendezvous.docx이다.

 

6. What is the MD5sum of the attachment Ann sent to her secret lover?

 

eml file으로 저장해서 열어보면 다음과 같이 메일 앱에서 열 수 있다.

여기서 docx을 다운로드 받고 md5 해시값을 계산해보자.

9e423e11db88f01bbff81172839e1923 으로 계산된다.

 

7.  In what CITY and COUNTRY is their rendez-vous point?

다운로드 받은 문서를 열어보면 다음과 같이 나온다.

City: Playa del Carmen

Country: Mexico

 

8. What is the MD5sum of the image embedded in the document?

docx를 zip으로 확장명을 바꾸고 압축을 풀어주면 안에 있는 원본 이미지를 훼손없이 얻는게 가능하다.

(문서에서 이미지를 다운받을 경우, 파일 생성 시각 등 파일 데이터들이 변조되기 때문에 원본 이미지와 해시값이 달라진다.)

원래 윈도우에서는 바로 압축 해제가 가능한데, 나는 맥북을 쓰고 있어서 바로 압축 해제는 안되었고 다른 툴을 사용해서 했다.

 

이 앱을 사용해서 진행했다.

 

 

 

이렇게 잘 압축해제가 되었고 이 이미지에 대한 md5 해시값을 생성해보자.

 

해시값: aadeace50997b1ba24b09ac2ef1940b7