> For the complete documentation index, see [llms.txt](https://docs.cooku222.kr/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.cooku222.kr/security/digital-forensics/dreamhack/dreamhack-dream-zoo.md). # \[DreamHack] Dream Zoo #### 문제 링크 {% embed url="" %} #### 문제
#### Writeup
pcap 형식 -> 패킷 스니핑 API -> 패킷 캡쳐가 가능한 와이어샤크로 문제에서 제공해준 파일을 압축 해제 후 열어준다.\ 우측 하단에 헥사 값이 보이는데, 블록 친 부분 = zip 시그니처가 확인이 된다.\ 위의 사진은 첫번째 패킷에 대한 로그이므로 다음 패킷을 통해 다른 정보를 취득한다.
이건 두번째 패킷인데,\ GET /syvaidya/openstego/releases/download/openstego-0.8.6/Setup-OpenStego-0.8.6.exe HTTP/1.1\ 라는 정보를 얻을 수 있다. OpenStego 툴을 이용해 이미지 감추기를 했다는 정보를 취득\ 이제 리눅스를 켜서 tshark를 실행한다.\ (Window 11 노트북을 사용하고 있어서 powershell을 쓰려했는데 더 꼬이는 거 같아서 리눅스로 접속함)\ \*로컬 파일을 리눅스에서 실행하고 싶으면 드래그 앤 드롭도 있고, 나는 VM > Settings > Options > Shared Folder에 파일을 추가한 후 우분투 툴즈를 설치하고 리부트 하였다. 수동 마운트까지 해서 확인을 해주었다.

괄호를 인식 못해주는 거 같아서 + 다운로드 명이 너무 기니까 파일 이름을 바꿔주고 tshark를 리눅스에 깔아준다.

``` tshark -r zoo.pcap -T fields -e dns.qry.name | awk '!a[$0]++' > extracted.txt ``` 이 명령어로 DNS 쿼리의 도메인 명(dns.qry.name)을 필드 추출한 결과를 extracted.txt라는 파일로 저장한다. ``` nano parse.py ``` 이 명령어로 parse.py라는 파일 하나를 만들어준다( 이 분의 블로그를 참고했다)\ \*참고로 extracted.txt -> extracted.zip로 처리를 해주는 이유 : DNS Tunneling 기법 중 하나로 공격자가 .pcap 파일 안에 DNS 쿼리들을 이용해 zip 파일을 잘게 쪼개 은닉하는데, DNS 질의 이름 중에 숨겨놓은 zip 파일을 찾기 위해서 {% embed url="" %} 이건 dns tunneling에 대한 설명이 나와있는 참고글.\ 암튼 문제로 다시 돌아와서

parse.py

저장 후 나옴(ctrl + o -> Enter -> ctrl + X)\ -> 실행(실행을 해야 extracted.zip 파일이 형성이 되고 그 뒤에 이 zip을 압축 해제해서 단서를 찾을 수 있다!) ``` python3 parse.py ``` zip 파일이 생성 되었는지 확인 ``` ls -l ```
extracted.zip 파일이 생성되어있으니까 zip을 압축 해제 ``` unzip extracted.zip ``` (파일 구조가 꼬이는 경우도 있으니 파일 위치를 잘 확인해준다)
숨겨진 파일이 여럿 나오는데 누가봐도 힌트처럼 보이는 hint.txt 파일이 하나 보임. hint.txt를 열어준다. ``` cat hint.txt ```
-> hiding sth \~ = 이 문제 스테가노에용\~
openstego로 이미지를 숨겨놓았다고 서두에 언급했었다. 따라서 openstego를 리눅스에 설치해준다.(리눅스로 파이어폭스 -> 검색창에 openstego -> download -> openstego\_0.8.6-1\_all.deb 설치) {% embed url="" %} 이 영상을 참고했다. ``` sudo dpkg -i openstego_0.8.6-1_all.deb ```
오픈스테고로 png 파일을 하나씩 열면 이렇다.
\---\ 여기서부턴 파일 추출이 안 됨 \ openstego 설치를 잘못했나? 암튼 위에 첨부된 블로그 참조해서 풀기로 했음 (후에 다시 접근해볼 예정)
--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.cooku222.kr/security/digital-forensics/dreamhack/dreamhack-dream-zoo.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.