[DigitalForensic with CTF] Sans Network Forensic [Puzzle 3] #3(18)

이번엔 AppleTV를 통해 검색한 내용의 기록을 찾아야 한다.

 

 

NetworkMiner에서 'Parameters' 항목을 보니 패킷 헤더와 그 내용 같은 것들이 있다.

 

 

Ann이 검색한 내용을 찾기 위해서는 Ann이 보낸 내용을 봐야하므로, 출발지 IP가 Ann이 갖고 있는 AppleTV의 IP주소인 192.168.1.10인 것만 검색 되도록 설정하였다. 8, 32, 43번... 프레임이 Ann이 보낸 것으로 보이는 것처럼 보이므로 와이어샤크에서 6번 프레임의 내용부터 자세히 살펴보기로 했다.

 

 

6번 프레임을 보니 HTTP를 통해 이루어진 것으로 보이기에 자세한 확인을 위해

 

 

HTTP Requests를 살펴보기로 했다.

 

 

쿼리가 길어서 길게 땡겨서 봐야하는 점이 불편하지만, 일단 내용 확인을 시작하기 전에 시간순으로 보기 위해 'Burst Start'부터 오름차순으로 정렬시켰다.

 

 

Ann이 보낸 URL(Ann이 검색을 한 행위)을 보던 중, 네모 칸에 표시된 것 처럼 'h', 'ha', 'hac', 'hack'이 직관적으로 눈에 들어왔다. 문제에서도 첫 4개의 검색 내용을 알아내라 하였으므로, 

 

이와 같이 정답을 보내 제출했더니

 

 

정답이었다.