Hack The Packet 2013 - 동건이는 악성앱을 설치하였다. 이때 정보가 빠져나갔다. 빠져나간 시각을 찾아라.

HEQ : Donggun installed malicious android application. when Information is stoled?

정보가 빠져나갔다는 소리에 method가 POST라고 생각하고 필터링 걸었습니다.

http.request.method eq POST로 필터링걸고 시작하겠습니다.

Destination IP가 117.53.114.12인게 꽤 많아서 찾아보니까 mail3.nate.com이더군요..

mail3.nate.com까지 필터링 하고 싶으시다면 http.request.method eq POST and http.host ne mail3.nate.com이라고 필터링 걸어주시면 됩니다.

Destination IP가 1.234.38.88인게 하나 있는데(패킷 인덱스 33176) POST로 /send_sim_no.php로 무언가를 보냅니다.

이번에도 Follow TCP Stream를 해줍니다.

sim_no, datetime이라는 파라미터 두개로 값을 보내는데 datetime 파라미터를 보시면 URL Encoding이 되어 있는데, Decode하시면 2013-10-10+10:20:52 이라고 나옵니다.

Password is 2013-10-10+10:20:52