xcz.kr PROB:17번

xcz.kr PROB:17번 문제다. 점수는 100 point. 짱게임이란 놈한테 xcz.kr에 있는 비밀번호를 해킹당한거 같다. 패킷파일이 있고 이를 확인해보면 될 것 같다. 먼저, 열어보니 패킷양이 상당하다. 필터링을 해야할 것 같다. 먼저 비밀번호가 xcz.kr에 있기 때문에 xcz.kr에 접근했을 거라 생각하고 xcz.kr ip를 필터링 해봤다.   아직 양이 상당하다. 좀더 패킷을 필터링해야 할 것 같다. 이 떄 보면 xcz.kr를 대상으로 하나의 사설아이피가 지속적으로 패킷을 보내는데 이게 아마 사용자의 PC IP 인 것 같다. 또한 지문에서 주어진 정보를 잘 생각해보면 사용자와 서버 사이의 http 통신 중에 패킷을 스니핑 당하거나 세션 하이재킹이 있었을 것으로 추측된다. 양이 꽤 많이 줄었다. 마지막으로 사용자가 ZZANGGAME이라 했으니 id가 이와 비슷할거라 유추된다. 이를 좀 완화시켜 패킷에 ZANG을 포함하는 것만 따로 필터링한다. 5개의 패킷을 하나씩 Follow TCP Stream 해보면 다음과 같이  Join Success라는 성공창을 보여주는 패킷의 pw값이 비밀번호라는 걸 알 수 있다. 성공!