반응형

 

  SSL/TLS 패킷 복호화 전

 

  SSL/TLS 패킷 복호화 후 결과

 

* 아래 방법을 차례대로 수행하면 위 사진 결과와 같이 SSL/TLS 패킷을 복호화 할 수 있습니다.

 

[실행 환경]

운영체제 : Windows 10

브라우져 : Chrome & Firefox

 

 

  SSL/TLS 패킷 복호화 하는 방법

 

  Step1 - 환경변수 SSLKEYLOGFILE 입력

 

제어판 > 모든 제어판 항목 > 시스템 > 고급 시스템 설정 > 환경 변수 > 시스템 변수 > 새로 만들기

 

새 시스템 변수 부분에 아래와 같이 입력합니다.

 

변수이름 : SSLKEYLOGFILE

변수 값 : C:\Users\<사용자 계정>\Desktop\sslkey.log

 

 

 

  Step2 - Wireshark 설정 변경

 

Wireshark를 실행하여 Edit -> Preferences -> Protocol -> SSL 또는 TLS 를 클릭합니다.

(Pre)-Master-Secret log filename 부분에 환경 변수 값을 넣습니다.

 

변수 값 : C:\Users\<사용자 계정>\Desktop\sslkey.log

*중요!!* : 설정 후 Wireshark와 인터넷 브라우져(Chrome/Firefox)는 모두 종료합니다.

 

 

 

  Step3 - 패킷 복호화 확인

 

인터넷 브라우져를 실행한 후 HTTPS가 지원되는 페이지 (ex. 네이버)에 접속하면 다음과 같이 sslkey.log가 바탕화면에 생깁니다.

 

복호화가 잘 되는 확인해 보기 위해 네이버에서 "this is test"라는 문자를 검색해 봅니다.

 

HTTP2로 필터링을 걸고 문자열 검색을 해보니 아래와 같이 복호화가 잘 되었음을 확인할 수 있습니다.

 

패킷이 복화화 되었는지 않되었는지 궁금하신분은

Wireshark 하단에 아래 사진과 같이 Decrypted TLS 부분이 있나 없나 확인해 보시면 간단하게 알 수 있습니다.

 

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

 

 

반응형
반응형

정보보안을 담당하는 곳에서 한 통의 메일을 받았는데 그 내용인 즉...

"DNS서버의 Open Resolver 설정이 활성화된 것을 탐지" 되었다는 메일을 받았습니다.

 

 

  Open DNS Resolver ?

DNS 서버에 A라는 도메인에 대한 질의가 들어왔을때 A라는 도메인의 IP 정보가 없으면

상위 DNS에게 질의하여 A 도메인의 IP를 알아내는 DNS 서버이다.

 

 

  Open Resolver 활성화/비활성화 차이점

Open Resolver 활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 물어봐서 알려줌

Open Resolver 비활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 질의 하지 않고 거부 (Refuse)

 

 

  Open DNS Resolver에 따른 공격

DNS 서버의 Open Resolver가 활성화 되게 되면

공격자는 해당 DNS 서버를 공격의 경유지로 사용하여 DNS Amplication 공격을 함으로

피해자 서버에 DDoS 공격을 할 수 있습니다.

 

 

참고) DNS Amplication(증폭) 공격의 원리

 

 

  검증 (Demonstration)

 

  Open Resolver 활성화된 DNS 서버

  • 커맨드 창 실행 후 nslookup 입력
  • server는 KT DNS (168.126.63.1)로 지정
  • set type은 ANY로 설정
  • google.com 을 질의 했을 때 "권한 없는 응답"이라는 메시지가 뜸으로 KT DNS에는 없는 도메인 정보지만 상위 DNS에 질의하여 아래처럼 google.com에 대한 도메인 정보를 응답해줌

 

  Open Resolver 비활성화된 DNS 서버

  • 커맨드 창 실행 후 nslookup 입력
  • server는 Open Resolver를 지원하지 않는 서버로 지정    예)115.22.33.61)
  • set type은 ANY로 설정
  • google.com 을 질의 했을 때 아래와 같은 메시지 뜸

 

 

  Open Resolver 여부 테스트 사이트

간편하게 자신의 DNS 서버가 Open Resolver가 활성화/비활성화 여부를 알 수 있는 사이트를 소개해드리겠습니다.

사이트 주소는 아래와 같습니다.

 

https://openresolver.com/

 

소개해드린 사이트에서 DNS 서버의 IP를 조회해보면 Open Resolver 여부를 간단하게 알 수 있습니다.

 

 

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

 

 

반응형
반응형

 

  공격 원리

  • DNS 질의는 인증 절차가 없다는 점을 이용
  • DNS 질의 트래픽량은 요청량보다 DNS 서버의 응답량이 더 많다는 점을 이용

DNS 요청/응답 패킷 - www.naver.com

 

  공격이 이루어지는 과정

  1. 공격자가 Open Resolver(중계 DNS 서버) 서버에 DNS Query의 Type을 "ANY"로 변경한 후 출발지를 피해자의 IP 수정한다.
  2. Open Resolver 서버는 찾는 도메인이 자신이 관리하지 않을 경우 상위 DNS에 물어 응답을 받아 온다.
  3. Open Resolver는 DNS type을 ANY로 요청 받았기 때문에 A, NS, CNAME 등 모든 Type의 정보를 응답한다.
  4. 공격자는 출발지 IP 주소를 희생자의 주소로 위조하였기 때문에 다수의 Open Resolver 서버에 보내면 피해자는 다수의 DNS 서버로 부터 수 Gbps의 응답을 받게 된다.

set type 변경

 

DNS ANY type 패킷

DNS ANY 타입의 패킷을 보면 Type이 * (00 ff)임을 확인할 수 있다.

 

 

  대응 방법

DNS 서버의 재귀 쿼리(Recursive Query)를 사용하지 않는다면 설정 해제

단, 꼭 사용해야 한다면 DNS 서버 설정을 통해 내부 사용자의 주소만 재귀 쿼리(Recursive Query)를 허용

방화벽 설정을 통해 특정 byte 이상의 DNS 응답을 차단

 

 

 

[References]

ASEC blog : https://asec.ahnlab.com/951

 

주요 정부기관 DNS 서버 대상으로 DNS 증폭 DDoS 공격 - ASEC BLOG

6월 25일 주요 정부 기관을 대상으로 한 DDoS(Distributed Denial of Service) 공격이 발생한 이후 새로운 형태의 DDoS 공격 형태가 6월 27일 추가 발견되었다. 이번 발견된 DDoS 공격 형태는 다수의 PC에서 ANY

asec.ahnlab.com

DNS 증폭 공격 : http://itwiki.kr/w/DNS_%EC%A6%9D%ED%8F%AD_%EA%B3%B5%EA%B2%A9

 

DNS 증폭 공격 - IT위키

 

itwiki.kr

 

 

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

 

 

 

반응형
반응형

The Curious Mr. X의 주어진 정보와 문제는 아래와 같습니다.

 

 ---------------------------------------------------------------------------------------------------

[주어진 정보]

Mr.X가 네트워크에서 정찰(reconnaissance) 활동을 했음…

4번에서는 주어진 정보는 거의 없다… 하지만 아래에 보이는 것 처럼 문제를 통해 출제자가 원하는 것은 포트스캔에 관련한 문제임을 파악할 수 있습니다.

 

 

[문제]

1. What was the IP address of Mr. X’s scanner?

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

3. What were the IP addresses of the targets Mr. X discovered?

4. What was the MAC address of the Apple system he found?

5. What was the IP address of the Windows system he found?

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)

X-TRA CREDIT (You dona€™t have to answer this, but you get super bonus points if you do): What was the name of the tool Mr. X used to port scan? How can you tell? Can you reconstruct the output from the tool, roughly the way Mr. X would have seen it?

 ---------------------------------------------------------------------------------------------------


문제1. What was the IP address of Mr. X’s scanner?

1번은 Scan을 수행한 IP에 관련해 묻는 문제입니다.

evidence04.pcap를 다운받고 Wireshark로 분석해보면 

가장 먼저, 10.42.42.253의 IP가 다른 IP로의 Well Known 포트(80, 23, 22 등)로 요청하는 패킷을 쉽게 발견할 수 있습니다. 

따라서 Mr.X의 IP는 10.42.42.253이라는 사실을 추론해 볼 수 있습니다.



1번) 10.42.42.253



문제2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

 

이 문제는 포트 스캔 시, 포트스캔 방법을 물어보는 문제인데요 Mr.X가 포트스캔을 시도한 패킷을 봐 보면 아래와 같이 Syn Flag에만 1이 표시 되어 있음을 확인 할 수 있습니다. 따라서 답은 TCP SYN 또는 TCP Connect 중 하나로 나뉜게 되겠죠?




아래에서 연두색 박스를 확인해 보면 열린 포트에 대하여 SYN, > SYN+ACK > ACK 순서의 패킷을 발견할 수 있습니다. 

이는 곳 TCP Connect를 의미하기 때문에 답은 TCP SYN이 될 수 없습니다. 

하지만 저는 열린포트에 대한 정보를 확인하지 않았기 때문에 TCP SYN으로 오답을 기입하였죠ㅠㅠ




2번) TCP Connect



문제3. What were the IP addresses of the targets Mr. X discovered?

위 문제는 Mr.X가 발견한 호스트 IP에 대한 물음입니다. 

해당 정보는 Wireshark에 Statistics > IPv4 Statistics > All Addresses 버튼을 클릭하여 확인이 가능합니다.




아래와 같이 발견한 호스트 IP 확인.




3번) 10.42.42.25, 10.42.42.50, 10.42.42.56




문제4. What was the MAC address of the Apple system he found?

 

Apple 시스템의 MAC 주소를 묻는 문제입니다. 

처음 문제를 접했을 때 어떻게 Apple 시스템을 찾을까 고민하다가 단순하게 Find 기능으로 Apple을 검색해보자는 생각으로 검색해보니.. 다음과 같이 바로 찾을 수 있었습니다. 완전 행운~


4번) 00:16:cb:92:6e:dc





문제5. What was the IP address of the Windows system he found?

다음 문제는 예전에 해커스쿨에서 TTL 값으로 운영체제를 구분하는 만화를 봤던 기억을 되살려 

검색을 통해 윈도우 시스템을 찾을 수 있었습니다. 

검색결과 대부분의 Windows 시스템의 TTL 값은 128임을 알 수 있죠.



패킷 필터링을 Protocol 종류 icmp로 필터링하여 ttl 값을 확인해 보니 128의 값을 가진 IP는 10.42.42.50 이렇게 하나의 시스템을 확인 할 수 있습니다.




이외에도 최강의 툴인 NetworkMiner를 통해 Hosts를 확인해 보면 해당 시스템이 윈도우인지 리눅스인지 바로 확인이 가능합니다.



5번) 10.42.42.50



문제6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?


Windows 시스템(10.42.42.50)에서 열려있는 포트가 무었있지 열려있다면 낮은 숫자에서 높은숫자로 정렬하라는 요구의 문제입니다.




해당 문제는 포트가 열려있다면 SYN, ACK패킷을 전송하였을 것이라는 생각으로 다음과 같이 필터링을 정요하였다. ip.addr == 10.42.42.50 && tcp.flags.ack == 1 && tcp.flags.syn == 1

 

필터링을 적용하니 135, 139번의 포트가 열려있음을 확인 할 수 있었다.

 

6번) 135, 139



4. The Curious Mr. X에 대한 모든 정답은 아래에 있습니다.

---------------------------------------------------------------------------------------------------

1. What was the IP address of Mr. X’s scanner?

A : 10.42.42.253

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

A : TCP Connect

3. What were the IP addresses of the targets Mr. X discovered?

A : 10.42.42.25, 10.42.42.50, 10.42.42.56

4. What was the MAC address of the Apple system he found?
A : 00:16:cb:92:6e:dc
5. What was the IP address of the Windows system he found?

A : 10.42.42.50

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?

A : 135, 139

---------------------------------------------------------------------------------------------------


반응형
반응형

Ann’s AppleTV의 주어진 정보와 문제는 아래와 같습니다.


---------------------------------------------------------------------------------------------------

[주어진 정보]

AppleTV static IP : 192.168.1.10



[문제]

1. What is the MAC address of Ann’s AppleTV?

2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

4. What was the title of the first movie Ann clicked on?

5. What was the full URL to the movie trailer (defined by “preview-url”)?

6. What was the title of the second movie Ann clicked on?

7. What was the price to buy it (defined by “price-display”)?

8. What was the last full term Ann searched for?

---------------------------------------------------------------------------------------------------




문제1. What is the MAC address of Ann’s AppleTV?

1번은 Wireshark만 실행 해서 단순 필터링 만으로 금방 답을 찾을 수 있습니다.


아래 사진과 같이 ip필터링을 걸은 후 아래 패킷의 상세 정보를 확인해 보면...

AppleTV의 MAC address는 00:25:00:fe:07:c4 를 확인 할 수 있다.

 



1번) 00:25:00:fe:07:c4



문제2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

두번째 문제는 AppleTV의 User-Agent를 묻는 문제입니다.

이것도 간단한 필터링 만으로 답을 찾을 수 있는데요


아래와 같은 필터링으로 AppleTV가 HTTP를 요청한 것을 알 수 있습니다.

필터링 : ip.addr == [AppleTV’s IP] && http


출발지가 AppleTV(192.168.1.10)인 패킷 중, 아무거나 클릭 후 그 안에 있는 User-Agent를 확인하여 보면 “AppleTV/2.4”를 확인 할 수 있습니다.





 

2번) AppleTV/2.4




문제3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?


위 문제는 Ann이 가장 처음으로 검색한 4가지 키워드를 찾는 문제이다.


해당 정보는 Follow HTTP Stream을 통해서 찾아 내었는데요.. 답이 있는 위치는 tcp.stream eq 2에 위치하고 있는데

먼저 아래와 같이 Follow HTTP Stream을 클릭하여 보면

 





다음과 같이 query의 약자인 q=h로 시작하는 부분을 검색 할 수 있습니다.

패킷의 흐름을 보면서 스크롤을 내리다보면 Ann은 h, ha, hac, hack 순서로 검색했음을 확인 할 수 있습니다.





또한 NetworkMiner에서 Parameters 부분을 확인하여 보면 Ann이 요청하였던 모든 파라미터를 편리하게 다음과 같이 확인 할 수 있습니다. 이것 또한 역시 NetworkMiner의 위대함(?) 이지요...





 

3번) h, ha, hac, hack






문제4. What was the title of the first movie Ann clicked on?


Ann 이 클릭한 첫 번째 영화를 묻는 문제인데요

저는 Follow HTTP Stream을 통해서 패킷 하나하나의 진행을 보면서 답을 찾아내다보니 이곳에서 시간을 꽤 많이 소비하였네요... 정보는 tcp.stream eq 5 위치해 있었으며 Ann은 제목(Title)이 Hackers라는 영화를 클릭했습니다.


 




<key>Tiltle</key> 옆에 Hackers를 확인 할 수 있다.






 

4번) Hackers





문제5. What was the full URL to the movie trailer (defined by “preview-url”)?


이 문제는 위에 주어진 힌트인 ”preview-url”를 Find 기능으로 찾아서 풀 수 있었습니다.

다음과 같이 해당 키워드인 preview-url를 Packet details로 옵션을 준 후 검색합니다.






다음과 같이 빨간줄로 그어진 것과 같이 http://a227.v.phobos.apple.com/~~ 로 시작하는 URL을 확인 할 수 있습니다.






5번) http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v






문제6. What was the title of the second movie Ann clicked on?


위 문제는 첫번째에 이어서 Ann이 두번째로 클릭한 영화를 묻는 문제입니다. 

해당 문제도 Follow HTTP Stream으로 찾았고 시간을 많이 소비하였는데요

찾는 방법은 첫번째 영화(Hackers)와 같이 Sneakers라는 것을 확인 할 수 있습니다.

 




6번) Sneakers



문제7. What was the price to buy it (defined by “price-display”)?

두번째 영화의 구입 가격을 묻는 문제입니다. 해당 문제도 price-display로 힌트가 주어졌네요.

하지만 price-display로 검색하게 되면 아래와 같이 price-display와 rent-price-display를 확인이 가능한데 문제의 취지는 구입 가격임으로 $9.99가 정답이였습니다.





7번) $9.99




문제8. What was the last full term Ann searched for?

마지막 문제는 Ann이 마지막으로 검색한 키워드가 무엇인지 찾는 문제입니다. 

해당 문제는 역시 NetworkMiner에서도 확인이 가능한데요

패킷의 흐름을 보면서 확인 하기위해 Follow HTTP Stream으로 확인하여 보니 tcp.stream eq 18번 위치에 “q=iknowyourewatchingme” 를 검색 하였음을 확인 할 수 있었습니다.


 




8번) iknowyourewatchingme





[문제 정답]

1. What is the MAC address of Ann’s AppleTV?

A : 00:25:00:fe:07:c4

2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

A : AppleTV/2.4

3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

A : h, ha, hac, hack

4. What was the title of the first movie Ann clicked on?

A : Hackers

5. What was the full URL to the movie trailer (defined by “preview-url”)?

A : http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb. .640x278.h264lc.d2.p.m4v

6. What was the title of the second movie Ann clicked on?

A : Sneakers

7. What was the price to buy it (defined by “price-display”)?

A : $9.99

8. What was the last full term Ann searched for?

A : iknowyourewatchingme.

반응형
반응형

Ann Skips Bail의 주어진 정보와 문제는 아래와 같습니다.

---------------------------------------------------------------------------------------------------

[주어진 정보]

“We believe Ann may have communicated with her secret lover, Mr. X, before she left,”

해석 : Ann떠나기 전 Mr.X와 연락을 주고 받았다. (연락 수단은 메일 임)


[문제]

1. What is Ann’s email address?

2. What is Ann’s email password?

3. What is Ann’s secret lover’s email address?

4. What two items did Ann tell her secret lover to bring?

5. What is the NAME of the attachment Ann sent to her secret lover?

6. What is the MD5sum of the attachment Ann sent to her secret lover?

7. In what CITY and COUNTRY is their rendez-vous point?

8. What is the MD5sum of the image embedded in the document?

---------------------------------------------------------------------------------------------------


문제1번의 질문은 메일에 관련된 문제인데요.

문제의 Packet 파일(evidence02.pcap)을 다운로드 받아서 WireShark에서 열은 후 smtp 프로토콜로 필터링을 적용하면

다음과 같이 필터링된 결과를 확인 할 수 있습니다.


그 이후 Wireshark의 강력한 기능인 Follow TCP Stream을 클릭해보면 다음과 같이 

Ann의 메일은 sneakyg33k@aol.com 이라는 것을 확인 할 수 있습니다.


1. What is Ann’s email address?

A : sneakyg33k@aol.com


메시지를 확인하다 보면 바로 문제2번의 정답을 알 수 있는데 AUTH LOGIN이라고 써진 부분 밑에 빨간 네모 안에 있는

암호화된 파란 글자와 빨간 글자를 Base64로 Decoding하여 보면 해당 계정의 Password는 558r00lz인것을 확인 할 수 있습니다.


2. What is Ann’s email password?

A : 558r00lz


문제 3번은 "What is Ann’s secret lover’s email address?" 인데요. 즉 Ann의 secret lover는 누구인지 묻는 문제입니다. 부끄...

하지만 메일의 메시지를 확인한 결과 관련 정보가 발견되지 않아, 두번째 메일이 있을 것으로 생각하고 아래의 그림 처럼 

첫번째 메시지의 frame이 어디까지 인지 확인하여 보니 frame 번호가 88번이라는 것을 확인하였습니다.



다시 필터링을 없앤 후, SMTP로 프로토콜을 필터링 하여 검색하니 88번 이후에 116번으로 시작하는 SMTP 발견!


똑같은 원리로 Follow TCP Stream을 클릭하니 두번째 메일로 보이는 정보를 확인하였습니다.

여기에는 mistersecretx@aol.com으로 적혀진 계정을 확인



3. What is Ann’s secret lover’s email address?

A : mistersecretx@aol.com




문제4번은 Ann이 secret lover에게 가져오라고 한 물건이 묻는 문제이다. 해당 문제의 답은 바로 위에서 보았던 Wireshark를 확인해도 되지만 NetworkMiner를 이용하면 아래와 같이 더욱 편하게 확인이 가능합니다.



4. What two items did Ann tell her secret lover to bring?

A : fake passport and a bathing suit


문제5. "What is the NAME of the attachment Ann sent to her secret lover?" 즉, 첨부된 파일의 이름을 묻는 문제이다.
이 또한, NetworkMiner로 바로 확인해보니....

5. What is the NAME of the attachment Ann sent to her secret lover?
A : secretrendezvous.docx

문제6번은 추출된 파일의 MD5 Hash 값을 묻는 문제이다. 

문제 6번은 Puzzle #1. Anns Bad AIM과 같이 파일을 출력하여 HashCalc로 확인하여보면

다음과 같이 문제 6번에 대한 답을 알 수 있습니다.



6. What is the MD5sum of the attachment Ann sent to her secret lover?

A : 9e423e11db88f01bbff81172839e1923


문제7번은 rendez-vous 포인트가 어디 인지 묻는 문제이다. 이 문제는 추출하였던 .docx 파일을 확인하여 보면

아래 사진과 같이 해당 정보를 확인 할 수 있다.


7. In what CITY and COUNTRY is their rendez-vous point?

A : Playa del Carmen, Mexico


마지막 문제는 첨부파일(secretrendezvous.docx)에 들어가 있는 이미지의 Hash 값을 묻는 문제였는데 전 이 문제를 틀렸다....ㅠ 

내가 풀었던 방법은 추출하였던 secretrendezvous.docx를 Hex Editor로 열어 PNG파일만 추출하는 방법을 사용하였는데 

해당 방법을 사용하니 엉뚱한 Hash값을 얻게 되었네요


이를 통해 틀린문제 원인을 분석하니 새로 알게된 내용은.... .docx는 사실 압축 파일(.zip)파일 형태를 가지고 있고

MS word 2007부터 확장자만 .docx로 바꾸어 사용한다는 것과 .docx를 -> .zip으로 바꾸면 문서 내에 이미지를

추출할 수 있다는 것입니다. 


secretrendezvous.docx를 -> secretrendezvous.zip으로 바꾼후 압축을 풀면 다음과 같은 형식의 이미지를 확인할 수 있다.


압축을 푼 secretrendezvous 폴더 > word > media 경로 내에, 

위에서 확인한 이미지가 존재하는 것을 알 수 있다.


해당 이미지를 역시 HashCalc로 확인하여 보면 정답을 도출할 수 있다.


8. What is the MD5sum of the image embedded in the document?

A : aadeace50997b1ba24b09ac2ef1940b7



이로써, 2. Ann Skips Bail에 대한 모든 정답은 아래에 있습니다.

---------------------------------------------------------------------------------------------------

1. What is Ann’s email address?

A : sneakyg33k@aol.com

2. What is Ann’s email password?

A : 558r00lz

3. What is Ann’s secret lover’s email address?

A : mistersecretx@aol.com

4. What two items did Ann tell her secret lover to bring?

A : fake passport and a bathing suit

5. What is the NAME of the attachment Ann sent to her secret lover?

A : secretrendezvous.docx

6. What is the MD5sum of the attachment Ann sent to her secret lover?

A : 9e423e11db88f01bbff81172839e1923

7. In what CITY and COUNTRY is their rendez-vous point?

A : Playa del Carmen, Mexico

8. What is the MD5sum of the image embedded in the document?

A : aadeace50997b1ba24b09ac2ef1940b7

반응형
반응형

Network Forensic 능력을 향상시키기 위한사람은 Forensics Contest 에 나와있는 Puzzle을 풀어 보면 됩니다.


아래에는 주어진 문제와 정보들 인데요

---------------------------------------------------------------------------------------------------

[주어진 정보]

Ann’s computer IP : 192.168.1.158


[문제]

1. What is the name of Ann’s IM buddy?

2. What was the first comment in the captured IM conversation?

3. What is the name of the file Ann transferred?

4. What is the magic number of the file you want to extract (first four bytes)?

5. What was the MD5sum of the file?

6. What is the secret recipe?

---------------------------------------------------------------------------------------------------


먼저, 주어진 정보인 Ann’s computer IP로 조회를 해보면 아래와 같이 Ann’s computer의 통신 기록을 볼 수 있습니다.



Analyze > Decode As... > Protocol을 AIM으로 변경하여 설정한다.


그럼 아래와 같이 Protocol 부분이 AIM으로 변경되는 것을 확인 할 수 있다.


패킷을 보다 보면 문제 문제1, 문제2번의 답을 확인 할 수 있다.


1. What is the name of Ann’s IM buddy?

A : Sec558user1


2. What was the first comment in the captured IM conversation?

A : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go &gt;:-) 


문제3번은 전송된 파일을 확인하라는 문제인데 이런 경우는 NetworkMiner를 이용하면 빠르게 확인할 수 있습니다.


3. What is the name of the file Ann transferred?

A : recipe.docx



문제4번은 추출된 파일의 파일 시그니쳐를 묻는 문제인제 NetwortMiner에서 recipe.docx을 전달하는 패킷의 Frame 번호를 확인 결과 112번의 패킷부터 파일 전송에 대한 패킷임으로 WireShark에서 "frame.number == 112"로 필터링 하여 Follow TCP Stream으로 확인하면 다음과 같은 결과를 확인 할 수 있습니다. 해당 TCP Stream을 ASCII -> RAW로 변경하고 Save As를 클릭하여 다른이름으로 저장하면...


저장된 파일을 Hex Editor로 열어보면 다음과 같은 화면을 볼 수 있다. 

.docx 확장자의 파일 시그니쳐(magic number)를 구글링한 결과 처음 4bytes는 (50 4B 03 04) 이다.



파일 추출을 위해 Hex Editor로 파일을 열은 후, 파일 시그니쳐(50 4B 03 04)를 검색하여 그 전을 모두 삭제 한 후 저장하도록 합니다. 아래는 파일 시그니쳐 검색 화면


이후 파일의 처음 부분의 편집을 완료하였으면 온전한 파일만을 추출하기 위해 

패킷의 마지막 부분(4F 46 54 32로 시작하는 부분)도 잘라냅니다.


바로 윗 사진에서 확인하였던 부분(4F 46 54 32...) 부터 끝까지 삭제한 후 저장.


이후... 저장한 파일을 열어보면 다음과 같이 Secret Recipe가 나온다.



해당 파일을 Hash calc 프로그램으로 MD5 값을 확인해보면.... 


위에 나온 결과를 토대로 남은 문제를 풀어보면

문제5. What was the MD5sum of the file?

A : 8350582774e1d4dbe1d61d64c89e0ea1


문제6. What is the secret recipe?

A : 1 serving

Ingredients:

4 cups sugar

2 cups water

In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.


---------------------------------------------------------------------------------------------------

1. What is the name of Ann’s IM buddy?

A : Sec558user1

2. What was the first comment in the captured IM conversation?

A : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go &gt;:-) 

3. What is the name of the file Ann transferred?

A : recipe.docx

4. What is the magic number of the file you want to extract (first four bytes)?

A : 50 4B 03 04

5. What was the MD5sum of the file?

A : 8350582774e1d4dbe1d61d64c89e0ea1

6. What is the secret recipe?

A : 1 serving

Ingredients:

4 cups sugar

2 cups water

In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.



반응형
반응형

윈도우 netstat와 telnet을 이용한 트러블 슈팅 방법에 대해서 알려드릴께요.

IT에 계신 분들은 업무를 하다보면 서버나 기타IT장비의 장애가 나는 경우가 종종 발생하는데요.

일단 원인은 크게 2가지로 나눌수 있습니다. 

첫째, 하드웨어 적인 원인. 둘째, 소프트웨어 적인 원인.

먼저로는, 하드웨어 적인 이유는 예를 들자면 (ex. 랜선 빠짐, 장비 파워 다운)를 들수 있구요.

둘째로는, 소프트웨어 적인 이유는 셀 수도 없을 정도로 매우 다양한 원인을 들수 있습니다....


하지만 만약 소프트웨어 적인 이유로 장비(또는 서버)가 접속이 되지 않는다면 빨리 그 원인을 파악해야 하는데요


그때는 윈도우 커맨드창 2개만 띄워놓고 각각의 커맨드 창에 아래의 명령어만 치면 간단하게 해결 됩니다.

command 1> netstat -an 1 | findstr <목적지IP>

command 2> telnet <목적지IP> <목적지Port>


먼저 HTTP 서비스 제공하지 않는 KT DNS(168.126.63.1)를 대상으로 테스트를 진행 하겠습니다.


커맨드 창을 하나 열고 "netstat -an 1 | findstr <목적지IP>" 명령어를 칩니다.

위 명령어는 "<목적지IP>" 문자열을 검색해서 "netstat -an" 명령어를 1초마다 갱신하겠다는 의미 입니다.


또 하나의 커맨드 창을 하나 열고 "telnet <목적지IP> <목적지Port>" 명령어를 칩니다.


그러면 netstat 명령어를 쳤던 커맨드 창에서 아래와 같은 SYN_SENT 결과를 볼 수 있습니다.

TCP/IP에서 TCP 통신규약인 3-Way Handshaking을 아시겠지만 

SYN_SENT는 클라이언트가 서버에게 연결요청(SYN) 패킷을 보냈다는 것을 의미 합니다. 

여기서!! SYN_SENT는 2가지의 중요한 의미를 내포하고 있습니다!!!


첫째. 서버(또는 장비)의 파워가 꺼짐 / 물리적으로 접속 제한(ex, Lan cable 빠짐)이 발생함

째. 방화벽 정책에 의해 패킷이 차단되고 있음


만약 자신서버(또는 장비)에 물리적으로 직접 접근해서 확인해보니 이상이 없다면

둘째이유인 방화벽에 의한 패킷 차단을 의심해보는 것이 가능성이 높고


만약 자신이 IT정보보안팀이라서 방화벽에 접속하여 차단된 패킷이 있는지 검색하여 보니 특이사항이 없었다면...

첫째 이유인 물리적인 이유에 의한 접속 불가를 의심해보는 것이 정확한 발생 원인을 찾을 수 있는 지름길 입니다.


참고로 서버와 연결이 잘 될 때에는 아래와 같이 연결 수립이 잘 되었다는 메시지인 

"ESTABLISHED"라는 문구를 확인 할 수 있습니다.

(예를 들기 위해 아래에 있는 목적지 IP는 NAVER IP 를 대상으로 하였습니다)



반응형

'IT > Network' 카테고리의 다른 글

[Network] DNS Amplication 증폭 공격 원리  (10) 2022.03.16
[Network Forensic] #4. The Curious Mr. X  (1026) 2018.08.10
[Network Forensic] #3. Ann’s AppleTV  (1021) 2018.08.10
[Network Forensic] #2. Ann Skips Bail  (370) 2018.08.09
[Network Forensic] #1. Ann's Bad AIM  (1018) 2018.08.09

+ Recent posts