Network Forensic 능력을 향상시키기 위한사람은 Forensics Contest 에 나와있는 Puzzle을 풀어 보면 됩니다.
아래에는 주어진 문제와 정보들 인데요
---------------------------------------------------------------------------------------------------
[주어진 정보]
Ann’s computer IP : 192.168.1.158
[문제]
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
---------------------------------------------------------------------------------------------------
먼저, 주어진 정보인 Ann’s computer IP로 조회를 해보면 아래와 같이 Ann’s computer의 통신 기록을 볼 수 있습니다.
Analyze > Decode As... > Protocol을 AIM으로 변경하여 설정한다.
그럼 아래와 같이 Protocol 부분이 AIM으로 변경되는 것을 확인 할 수 있다.
패킷을 보다 보면 문제 문제1, 문제2번의 답을 확인 할 수 있다.
1. What is the name of Ann’s IM buddy?
A : Sec558user1
2. What was the first comment in the captured IM conversation?
A : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
문제3번은 전송된 파일을 확인하라는 문제인데 이런 경우는 NetworkMiner를 이용하면 빠르게 확인할 수 있습니다.
3. What is the name of the file Ann transferred?
A : recipe.docx
문제4번은 추출된 파일의 파일 시그니쳐를 묻는 문제인제 NetwortMiner에서 recipe.docx을 전달하는 패킷의 Frame 번호를 확인 결과 112번의 패킷부터 파일 전송에 대한 패킷임으로 WireShark에서 "frame.number == 112"로 필터링 하여 Follow TCP Stream으로 확인하면 다음과 같은 결과를 확인 할 수 있습니다. 해당 TCP Stream을 ASCII -> RAW로 변경하고 Save As를 클릭하여 다른이름으로 저장하면...
저장된 파일을 Hex Editor로 열어보면 다음과 같은 화면을 볼 수 있다.
.docx 확장자의 파일 시그니쳐(magic number)를 구글링한 결과 처음 4bytes는 (50 4B 03 04) 이다.
파일 추출을 위해 Hex Editor로 파일을 열은 후, 파일 시그니쳐(50 4B 03 04)를 검색하여 그 전을 모두 삭제 한 후 저장하도록 합니다. 아래는 파일 시그니쳐 검색 화면
이후 파일의 처음 부분의 편집을 완료하였으면 온전한 파일만을 추출하기 위해
패킷의 마지막 부분(4F 46 54 32로 시작하는 부분)도 잘라냅니다.
바로 윗 사진에서 확인하였던 부분(4F 46 54 32...) 부터 끝까지 삭제한 후 저장.
이후... 저장한 파일을 열어보면 다음과 같이 Secret Recipe가 나온다.
해당 파일을 Hash calc 프로그램으로 MD5 값을 확인해보면....
위에 나온 결과를 토대로 남은 문제를 풀어보면
문제5. What was the MD5sum of the file?
A : 8350582774e1d4dbe1d61d64c89e0ea1
문제6. What is the secret recipe?
A : 1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.
---------------------------------------------------------------------------------------------------
1. What is the name of Ann’s IM buddy?
A : Sec558user1
2. What was the first comment in the captured IM conversation?
A : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
3. What is the name of the file Ann transferred?
A : recipe.docx
4. What is the magic number of the file you want to extract (first four bytes)?
A : 50 4B 03 04
5. What was the MD5sum of the file?
A : 8350582774e1d4dbe1d61d64c89e0ea1
6. What is the secret recipe?
A : 1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.
'IT > Network' 카테고리의 다른 글
[Network] DNS Amplication 증폭 공격 원리 (10) | 2022.03.16 |
---|---|
[Network Forensic] #4. The Curious Mr. X (1026) | 2018.08.10 |
[Network Forensic] #3. Ann’s AppleTV (1021) | 2018.08.10 |
[Network Forensic] #2. Ann Skips Bail (370) | 2018.08.09 |
윈도우 netstat와 telnet을 이용한 트러블 슈팅 방법 (373) | 2018.08.09 |