K . N . H :: BLOG

드디어! Reaver 문제를 해결했습니다!!!

지난 시간에 이어서 해결 과정에 대해 포스팅 하겠습니다.

[시도5] - wireshark로 패킷 덤프를 떠서 분석해 보기

문제를 해결하기 위해 구글링을 하다보니 GitHub에 있는 Reaver 프로젝트에 들어가게 되었는데

모든 프로젝트 내에는 아래 보이는 사진처럼 Issues 카테고리가 있습니다.

Issues 카테고리는 사용자들이 Bug나 오류가 나는 원인을 찾기 위해 오류가 난 내용을 업로드하는데요.

저는 여기에서 해답을 발견했습니다~!!^^

Issues 카테고리에 있는 내용 중 저에게 해당하는 내용은 "timout errors"라는 제목의 글이였습니다. 이슈 제목에 오타가 있네요 얼마나 절박했으면...

이슈에 대한 댓글을 확인해보니 누군가 Python 파일을 주면서 

디버깅을 해보고 현재 증상과 비교해 보라는 내용의 글이 있었습니다.

참고로 뒤늦게 안 내용이지만 코멘트를 달은 rofl0r 라는 사용자는 Reaver 프로그램 개발자 입니다.

다운받아서 Wireshark 로 패킷덤프를 뜨면서 바로 Python 스크립트를 돌려보았습니다.

덤프 결과 WPS transaction 순서도 정상이고 Python 스크립트를 실행 결과 WPS pin 번호도 정상적으로 출력하는 걸로 보아 

AP의 문제가 있다고는 볼 수 없다는 결론을 내렸습니다.

WPS transaction 및 취약점에 대한 문서는 아래 경로에서 참고하시면 됩니다.

Brute forcing Wi-Fi Protected Setup (When poor design meets poor implementation)

[ Python 스크립트 (ssl0.py) 패킷 덤프 결과 ]

[ Python 스크립트 (ssl0.py) 실행 결과 ]

그렇다면.... 결론은 프로그램에 자체에 문제가 있다는 건데...

Issues 글 중에는 개발자가 최신 버전을 다운로드 해서 사용해보라는 글이 있어서 개발자님을 한번 믿고

Kali 자체적으로 깔린 툴이 아닌 GitHub에서 직접 다운로드 받기로 하고 다운로드를 하였습니다.

[ Reaver 최신버전(GitHub) 설치 ]

# sudo apt -y install build-essential libpcap-dev aircrack-ng pixiewps

# git clone https://github.com/t6x/reaver-wps-fork-t6x

# cd reaver-wps-fork-t6x*

# cd src

# ./configure

# make

# sudo make install

최신버전으로 다운로드 후 Reaver 버전을 확인해 보니 기존 버전인 v 1.6.5 뒤에 뭐가 붙은게 보이네요.

이제 Reaver를 실행해보도록 하겠습니다.

(단, 가끔 안될때가 있으니 한번만에 안되더라도 꾸준히 시도해 보면 될거니까 인내심을 가지고 실행하보시기 바랍니다.)

저도 처음에 안되서 에이 똑같네~하고 v1.0 ~ v1.4 까지 모든 버전을 다 실행해 봤지만

결국 돌아온 곳은 GitHub 프로젝트 페이지로...

프로그램은 그 프로그램을 개발한 사람이 하는말이 항상 옳다는 것을 다시 한번 느꼈다는게 후문입니다.

결론 : 개발자가 올린 최신버전의 프로그램을 사용하자

Kali를 통해 reaver를 이용하여 실제로 공격이 먹히는지 테스트를 하려 하는데 

지속적으로 [!] Warning: Receive timeout occurred 라는 에러메시지가 뜬다

먼저 오늘도 역시나 구글신을 통해 검색을 해본다.

구글링 검색 결과 대다수의 의견은 아래와 같았다

[시도1] - 구글신이 대답해준 것 실행해보기

1. Wireless Card가 monitor 모드인지 확인

2. AP 신호가 잘 잡히는가

3. aireplay-ng를 통해 패킷 injection 여부 확인하기

4. 아래 명령어 다 시도해보기

reaver -i mon0 -vv -b <mac>

reaver -i mon0 -vv -b <mac> -a

reaver -i mon0 -vv -b <mac> --no-nacks

reaver -i mon0 -vv -b <mac> -d 5

reaver -i mon0 -vv -b <mac> --no-nacks -d 5

1 - 확인 :  역시나 당연하게 Monitor 모드이다.

2 - 확인  :  AP 신호는 내집에 있는 AP이기 때문에 거리가 1M도 넘지 않는다...

3 - 확인  :  aireplay-ng를 통해 패킷 injection 확인 결과 아주 잘 된다.

4 - 확인  :  옵션을 바꿔가면서 명령어를 다 실행했는데 증상은 똑같다....

[시도2] - reaver 최신 버전으로 재설치 하기

# apt-get install --reinstall reaver

결과 : 역시 해결 안됨.

[시도3] - reaver 삭제하고 다시 설치 하기

# apt-get install remove reaver

# apt-get install reaver

결과 : 역시 해결 안됨.

[시도4] - reaver -vvv 옵션으로 상세 출력결과 옵션을 에러 증상 확인

확인해보니 [+] Sending EAPOL START request 패킷을 보내고 나서

그 이후에가 문제인 것으로 추정된다....

옵션을 바꿔가면서 상세 출력옵션(-vvv)를 사용해보니

[!] WPS transaction failed (code: 0x02, 0x03, 0x04), re-trying last pin 에러도 확인이 된다.

결론 : Wireshark로 패킷을 떠 보고 WPS transaction 원리를 알아야 어디서 에러가 나는지 알 수 있음

에러를 잡기 위해 WPS 원리까지 공부해야 하다니... 강제적으로 지식이 쌓이는군요^^

[시도5] - wireshark로 패킷 덤프를 떠서 분석해 보기

WPS transaction 패킷 분석은 Wireshark로 분석이 끝난 후 reaver 에러 현상 (2/2)에서 자세히 포스팅 하겠습니다.

오래된 Kali 버전에서는 apt-get update 를 입력했는데 segmentation fault 라는 에러 메시지가 나올때가 있습니다.

원인은 apt-get update를 하는 경로인 Repositories 주소가 만료되었기 때문입니다.

해결책은 최신의 버전의 경로로 업데이트 하면 모든 에러는 사라지면서 업데이트도 잘 될겁니다. 

칼리 공식 홈페이지인 https://docs.kali.org 에 들어가면 경로가 나왔있는데요

1. 홈페이지에 접속하여 > 05. Using Kali Linux 로 이동

2. 가장 위에 있는 "Kali sources.list Repositories" 글 클릭

3. 여기에서 아래 회색 박스 안에 있는 내용을 복사하여 /etc/apt/sources.list 에 추가

추가할 부분 : deb http://http.kali.org/kali kali-rolling main non-free contrib

이거 외에 다른 주소를 넣으면 Kali 시스템이 망가질 수도 있다고 경고문구가 명시되어 있는데

경고 무시하면 진짜로 그렇게 됩니다.ㅠ 이래서 경고는 항상 중요하게 봐야하는 부분!!!

저도 오래된 칼리 버전을 설치하고 /etc/apt/sources.list 파일에 아무 주소나 막 갔다 썼었는데

그냥 한순간에 시스템이 부팅이 안되더라구요...

그걸 교훈삼아 다시는 아무 주소나 넣지 않지만요ㅎㅎ

아래는 칼리 2018.04 버전을 설치하고난 후의 /etc/apt/sources.list 파일인데요

최신 주소를 추가하려고 파일을 보니 이미 들어가 있네요ㅎㅎ

모두들 최적의 칼리 시스템을 유지하시길 바라며

다음 글로 돌아오겠습니다.

Kali를 사용하다 보면 상황에 따라 GUI툴을 이용해야 할 때가 있습니다.

Window에서 Kali로 RDP를 이용하여 원격접속하는 법을 공유 드리도록 하겠습니다.

1. apt-get update 를 통해 최신 패키지 업데이트 하기 

$ sudo apt-get update

2. xrdp 패키지 설치하기

$ sudo apt-get -y install xrdp

저는 이미 설치해서 설치할게 없다고 나오네요

3. .xsession 파일에 xfce4-session 내용 추가하기

$ echo xfce4-session >~/.xsession

4. /etc/xrdp/startwm.sh 파일 열어 내용 수정하기

$ sudo vi /etc/xrdp/startwm.sh

5. startxfce4 내용 추가

6. xrdp 서비스 시작

$ sudo service xrdp restart

$ sudo netstat -antp <- 이 명령어를 치시면 TCP/3389 포트가 리스닝 중임을 확인 할 수 있습니다.

7. 원격 데스크톱 실행 (실행 창 -> mstsc 입력)

8. 원격접속 결과 화면

구글신 검색결과 vnc server를 이용하거나 하는 방법도 있었지만

여러방법을 시도한 결과... 저는 최종적으로 Leon Jalfon's Blog 에 있는 글을 참고하여 성공했습니다.

여러분은 삽질하실 필요 없이 위 내용을 참고하여 시간 절약 하시기 바랍니다.^^

외부에서 Windows로 원격접속을 하게되면 글짜가 깨지는 증상이 있으셨던 분들은 이제 고민 해결입니다!!

아래 동일한 두 사진의 빨간줄 부분을 확인해보면 확연히 차이가 보이는데요

특히, 인터넷 익스플로어의 주소창 같은 경우가 차이가 확연히 들어납니다.

[폰트 깨짐 증상]

[폰트 깨짐 증상 - 해결]

차이가 딱 보이시나요?

저는 이 해결 방법을 몰라서 약 2년간 눈이 고생했습니다ㅠㅠ

인터넷에 나온 모든 방법이란 방법은 다 해봤는데 해결이 안되더라구요

가장 먼저 시도 해본게 ClearType 텍스트 조정 기능으로 해결해 보려고 했습니다.

하지만... 결과는 역시나 동일 증상

그 외에도 많은 방법을 사용했지만 무용지물 이였습니다.

여러분도 어떠한 방법을 쓰셔도 해결이 안되실 거에요ㅠㅠ

거두절미하고 결론을 말하자면 원격데스크톱의 옵션 부분의 성능 부분을 바꿔주면 해결할 수 있습니다.

먼저 원격 데스크톱에서 '옵션' 부분을 클릭합니다.

이후 작업 환경에 들어가서 성능을 가장 높은 'LAN(10Mbps 이상)' 옵션을 설정해주면

아래 체크박스들이 자동으로 체크 될겁니다.

이 옵션을 이용해서 원격접속 하시면 위와같은 깨끗한 폰트를 만나실 수 있으실 겁니다

-P.S -

제가 파견 근무를 하다보니 파견지마다 네트워크 상황이 다 달라서 

네트워크 성능이 열악한 곳은 안되는 곳도 있더라구요...

여러분은 저 처럼 2년 낭비하지 마시고 이 방법이 해결책이니 괜히 삽질 안하셔도 됩니다.

이 방법으로 해결이 안되시면 네트워크 담장자를 탓하심이.... 쿨럭...

크립토재킹은 가상통화인 Crytocurrency와 탈취인 Hijacking의 합성어로 해커들이 사용자의 PC를 이용하여 가상화폐를 채굴하는 공격입니다.

예전에 공격자가 사용자PC에 Miner 악성코드를 감염시켜 해당PC의 자원을 소모시켜 가상화폐를 채굴한 반면

최근 공격 트렌드는 웹 사이트를 해킹하여 자바스크립트로 이루어진 Miner 코드를 삽입하는 방식으로써 웹 사이트에 접근하는 사용자는 자신도 모르게 자신의PC가 악성스크립트를 통해 가상화폐를 채굴하는데 사용되게 됩니다.

또한 이 공격은 웹 사이트에 접근한 모든 사용자를 대상으로 영향을 끼치기 때문에  특정 사용자의PC만 감염시키는 Miner 악성코드 보다 파급력이 훨씬 큽니다. 따라서 많은 해커들이 이 방법을 사용하는 이유입니다.

크립토재킹 기존 공격방식(왼쪽)과 최근 공격방식(오른쪽)의 차이

감염증상

웹 사이트에 크립토재킹 스크립트가 삽입되면 해당 사이트를 방문한 사람자PC의 CPU 사용률이 거의 100% 정도 나타난다.

악성 스크립트 코드

아래 그림 첫줄에 보이는 자바스크립트 소스인

<script src="https://coinhive.com/lib/coinhive.min.js"></script>는 Coinhive를 이용하여 가상화폐를 채굴하는 악성 스크립트입니다.

밑에 보이는 KEY 부분은 은행으로 따지면 계좌번호에 해당하는 해커의 계좌입니다.

대응방안

- 일반 사용자 : 브라우저 확장 프로그램 사용 

ex)  안티마이너(AntiMiner), 노코인(NoCoin), 마이너블록(MinerBlock) 등

- 보안담당자 : IP(coinhive.com) 방화벽 차단 및 스크립트를 보안장비(IDS/IPS) 탐지룰로 작성하여 차단

Oracle Java가 2019년 1월부터 무료에서 유로로 전환한다고 밝힘에 따라

많은 사용자들이 유로인 Oracle Java에서 오픈소스인 Open JDK로 이동할 것으로 예측됩니다.

Open JDK 설치 방법에 관해 알아보겠습니다.

설치 방법

• https://github.com/ojdkbuild/ojdkbuild 에 접속

• 자신에게 맞는 Java 버전을 다운로드 (참고로 저는 Java-1.8 ... x86_64.msi를 다운받았습니다)

• 설치파일(.msi)을 다운받은 후 실행하고 Next만 눌러서 설치

• 환경변수 수정

• 제어판 > 시스템 > 고급 시스템 설정 > 환경변수 ( 단축키 : Windows + Pause Break )

• 환경변수를 수정할 수 있는 창이 나오면 기존에 있던 Path변수에 Oracle Java에 관련된 환경변수를 지웁니다.

• 주의) 기존에 있던 Oracle Java 환경변수를 지우지 않으면 java 명령을 실행 했을때 기존에 있던 Oracle Java 경로를 참조해 계속 에러를 발생시킵니다.

• Open JDK 경로를 추가합니다 (bin 경로까지 추가)

• openjdk 1.8 설치한 경우 환경변수에 들어갈 경로 ex) C:\Program Files\ojdkbuild\java-1.8.0-openjdk-1.8.0.191-1\bin

• 설치 확인
  

• CMD 창을 열고 명령어 "java -version"을 입력했을때 아래와 같은 결과가 나온다면 모든 설치가 다 잘된겁니다.

KrCERT 보안공지를 실시간으로 알면 참 좋은데.... RSS Feed를 제공하지 않으니 방법이 없네...

라고 생각했었지만 Feed43을 알고나서 그 고민이 풀렸다.

Feed43에 들어가면 먼저 아래 보이는 "Create Your fisrt RSS feed" 를 클릭하여 RSS feed를 만들 수 있다

1번째 Step으로 RSS Feed를 만들 사이트를 아래 Address 부분에 적고 Encoding 방식을 기입하자

하지만... 2번째 Step인 RSS Feed를 만들기 위해선 먼저 Data를 Parsing해야하는 번거로움이 있다.

그게 이 사이트의 가장 큰 어려움 인듯 하다.

위 소스를 봐보면 내가 파싱해야할 정보는 "Arobat 보안 업데이트 권고"와 그 옆에 보이는 "URL 링크" 이다.

즉, 제목과 링크인데 소스에서 봐보면

<td class="colTit">

<a href="https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=27610">Adobe Acrobat 보안 업데이트 권고</a>

이고 다른 글 들도 아래와 같은 형식으로 반복되고 있음을 알 수 있다.

<td class="colTit">

<a href="링크">제목</a>

Feed43에서는 뽑아내야할 정보는 {%}을 처리해 줌으로써 변수화 할 수 있는데 아래 그림과 같이 수정이 가능하다

{*}가 의미하는 바는 쓸모없는 부분이라는 뜻인데 공백이 있기때문에 사용하였다.

결과를 보면 아래와 같이 변수1{%1}, 변수2{%2}로 필요한 정보만 뽑히는 것을 확인할 수 있다

마지막인 3번째 Step에서는 적절한 정보를 채워넣으면 된다. 

제일 중요한 부분인 "Item Title Template" 부분과 "Item Link Template"부분에는 어떤 변수를 넣을지 순서를 선택하면 된다.

정보를 다 넣고 Preview를 클릭하면 아래와 같이 미리보기를 할 수 있고 RSS Feed 링크가 생성이 되었음을 확인할 수 있다

아래는 생성한 RSS Feed를 이용하여 내가 관리하는 게시판에 뿌리는 사진이다

<참고>

KISA인터넷보호나라&KrCERT-보안공지 (RSS feed) : http://feed43.com/0610105728231540.xml

랜섬웨어(Ransomware) 예방 및 걸렸을때 치료 방법에 대해 알려드리겠습니다.

[랜섬웨어 예방 방법]

항상 가장 좋은 시나리오는 감염되기 전에 예방이 최선이죠! 아래에 있는 경로로 가셔서 랜섬웨어 방지 툴을 설치 합니다.

1. 랜섬웨어 방지 툴 설치

<안랩 안티랜섬웨어 툴(Beta)> - http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120

2. 중요한 데이터 백업

랜섬웨어에 의한 피해를 최소화 하기 위한 가장 좋은 방법은 데이터의 정기적인 백업입니다.

최근에 발견된 많은 랜섬웨어는 외장 드라이브나 네트워크/클라우드 드라이브 등을 포함해 시스템에 매핑된 모든 드라이브 내의 파일들을 암호화하기 때문에, 백업 작업 시에만 드라이브를 연결하고 백업이 완료된 후에는 해당 드라이브와의 연결을 끊도록 하는것도 필수입니다.

요약 : 정기적(1달에 한번 또는 2주일에 한번씩) 중요 데이터 Back-up

3. 소프트웨어(S/W) 최신버전 유지

악성코드 제작자들은 운영체제(OS)나 어플리케이션의 취약점을 자주 이용하기 때문에 사용 중인 S/W를 최신 버전으로 유지할 경우 악성코드 감염의 가능성을 현저히 줄일 수 있습니다.

요약 : 윈도우 OS 또는 어플리케이션 최신 업데이트 자동 기능 활성화

<어플리케이션 최신 업데이트>

Java, Adobe Flash Player, Adobe Reader 등 

<Windows OS 최신 업데이트>

제어판 > WIndows Update > 설정 변경 > 업데이트 자동 설치(권장) 선택 > 확인

4. 스팸성(의심스러운) 이메일 열람 자제

익명 또는 알수 없는 이로 부터 제목 또는 파일명이 Account, Payment, Report 등 일반 비즈니스 메일 형태로 위장된 메일은 클릭을 자제하도록 하빈다.

5. 불건전 사이트 방문 및 문자/SNS 내 URL 클릭 자제

토렌트, 음란물, 무료 게임, 크랙 사이트 등은 방문을 자제합니다.

굳이 토렌트가 하고 싶다면.... 가상 머신 또는 포맷해도 무방한 세컨(Second) 피씨에서 하는 것을 추천드립니다.

[랜섬웨어 대응 및 치료 방법]

결론부터 말씀드리자면 랜섬웨어는 원래 PC 및 서버에 있는 파일을 암호화 시켜 돈을 요구하기 위해 복구 및 치료를 할 수 없도록 만들어진 프로그램 이게 때문에 치료를 못하는게 슬픈 현실입니다.ㅠㅠ

1. 외부 저장장치 및 인터넷(Lan Cable) 연결 해제

랜섬웨어 감염이 의심될 경우, 공유폴더, USB나 외장하드 등 외부 저장장치도 암호화 되는 것을 방지하기 위해 즉시 감염된 PC 와 외부 저장장치(외장 하드 등) 및 인터넷(Lan Cable)의 연결을 해제해야 합니다.

2. PC의 전원을 끄지 않도록 주의

일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제하기 때문에 PC의 전원을 켜둔 상태로 유지하도록 합니다.

3. 랜섬웨어 종류 식별

감염된 PC의 랜섬웨어 종류를 알기 위해 ID Ransomware 사이트에 접속 하여 감염된 파일을 해당 사이트에 업로드 하여 랜섬웨어 종류를 식별한다.

ID Ransomware - https://id-ransomware.malwarehunterteam.com/

4. 사용 가능한 복원 도구 확인

악의 적인 해커들도 가끔씩 양심이 찔려 복구 툴을 공개 하는 경우도 있습니다.

특정 랜섬웨어 크립트XXX(CryptXXX) 3.x 버전, 2.x 버전, 나부커(Nabucur), 테슬라크립트(TeslaCrypt) 등 감염된 PC에 대한 랜섬웨어 복구 툴이 존재하는지 검색하여 복원 툴이 있으면 종류에 맞는 툴로 복원 하도록 합니다.

안랩 랜섬웨어 복구 툴 - http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

트렌드마이크로 랜섬웨어 복구 툴(영문)- https://success.trendmicro.com/solution/1114221

5. 추가정보 검색

랜섬웨어에 대한 더욱 자세한 사항을 알기위해 한국 랜섬웨어 침해대응센터에 방문하여 관련 정보를 습득하는 것도 중요합니다.

한국랜섬웨어침해대응센터 - https://www.rancert.com/

The Curious Mr. X의 주어진 정보와 문제는 아래와 같습니다.

 ---------------------------------------------------------------------------------------------------

[주어진 정보]

Mr.X가 네트워크에서 정찰(reconnaissance) 활동을 했음…

4번에서는 주어진 정보는 거의 없다… 하지만 아래에 보이는 것 처럼 문제를 통해 출제자가 원하는 것은 포트스캔에 관련한 문제임을 파악할 수 있습니다.

[문제]

1. What was the IP address of Mr. X’s scanner?

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

3. What were the IP addresses of the targets Mr. X discovered?

4. What was the MAC address of the Apple system he found?

5. What was the IP address of the Windows system he found?

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)

X-TRA CREDIT (You dona€™t have to answer this, but you get super bonus points if you do): What was the name of the tool Mr. X used to port scan? How can you tell? Can you reconstruct the output from the tool, roughly the way Mr. X would have seen it?

 ---------------------------------------------------------------------------------------------------

문제1. What was the IP address of Mr. X’s scanner?

1번은 Scan을 수행한 IP에 관련해 묻는 문제입니다.

evidence04.pcap를 다운받고 Wireshark로 분석해보면 

가장 먼저, 10.42.42.253의 IP가 다른 IP로의 Well Known 포트(80, 23, 22 등)로 요청하는 패킷을 쉽게 발견할 수 있습니다. 

따라서 Mr.X의 IP는 10.42.42.253이라는 사실을 추론해 볼 수 있습니다.

1번) 10.42.42.253

문제2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

이 문제는 포트 스캔 시, 포트스캔 방법을 물어보는 문제인데요 Mr.X가 포트스캔을 시도한 패킷을 봐 보면 아래와 같이 Syn Flag에만 1이 표시 되어 있음을 확인 할 수 있습니다. 따라서 답은 TCP SYN 또는 TCP Connect 중 하나로 나뉜게 되겠죠?

아래에서 연두색 박스를 확인해 보면 열린 포트에 대하여 SYN, > SYN+ACK > ACK 순서의 패킷을 발견할 수 있습니다. 

이는 곳 TCP Connect를 의미하기 때문에 답은 TCP SYN이 될 수 없습니다. 

하지만 저는 열린포트에 대한 정보를 확인하지 않았기 때문에 TCP SYN으로 오답을 기입하였죠ㅠㅠ

2번) TCP Connect

문제3. What were the IP addresses of the targets Mr. X discovered?

위 문제는 Mr.X가 발견한 호스트 IP에 대한 물음입니다. 

해당 정보는 Wireshark에 Statistics > IPv4 Statistics > All Addresses 버튼을 클릭하여 확인이 가능합니다.

아래와 같이 발견한 호스트 IP 확인.

3번) 10.42.42.25, 10.42.42.50, 10.42.42.56

문제4. What was the MAC address of the Apple system he found?

Apple 시스템의 MAC 주소를 묻는 문제입니다. 

처음 문제를 접했을 때 어떻게 Apple 시스템을 찾을까 고민하다가 단순하게 Find 기능으로 Apple을 검색해보자는 생각으로 검색해보니.. 다음과 같이 바로 찾을 수 있었습니다. 완전 행운~

4번) 00:16:cb:92:6e:dc

문제5. What was the IP address of the Windows system he found?

다음 문제는 예전에 해커스쿨에서 TTL 값으로 운영체제를 구분하는 만화를 봤던 기억을 되살려 

검색을 통해 윈도우 시스템을 찾을 수 있었습니다. 

검색결과 대부분의 Windows 시스템의 TTL 값은 128임을 알 수 있죠.

패킷 필터링을 Protocol 종류 icmp로 필터링하여 ttl 값을 확인해 보니 128의 값을 가진 IP는 10.42.42.50 이렇게 하나의 시스템을 확인 할 수 있습니다.

이외에도 최강의 툴인 NetworkMiner를 통해 Hosts를 확인해 보면 해당 시스템이 윈도우인지 리눅스인지 바로 확인이 가능합니다.

5번) 10.42.42.50

문제6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?

Windows 시스템(10.42.42.50)에서 열려있는 포트가 무었있지 열려있다면 낮은 숫자에서 높은숫자로 정렬하라는 요구의 문제입니다.

해당 문제는 포트가 열려있다면 SYN, ACK패킷을 전송하였을 것이라는 생각으로 다음과 같이 필터링을 정요하였다. ip.addr == 10.42.42.50 && tcp.flags.ack == 1 && tcp.flags.syn == 1

필터링을 적용하니 135, 139번의 포트가 열려있음을 확인 할 수 있었다.

6번) 135, 139

4. The Curious Mr. X에 대한 모든 정답은 아래에 있습니다.

---------------------------------------------------------------------------------------------------

1. What was the IP address of Mr. X’s scanner?

A : 10.42.42.253

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

A : TCP Connect

3. What were the IP addresses of the targets Mr. X discovered?

A : 10.42.42.25, 10.42.42.50, 10.42.42.56

A : 10.42.42.50

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?

A : 135, 139

---------------------------------------------------------------------------------------------------