M4ndU의 만두만두한 블로그

Sans Network Forensic [Puzzle 3] #1~#8

MAC주소는 여기에서 확인할 수 있다.

192.168.1.10의 http request 패킷을 확인한다.

http 필터를 걸고 search 관련 페이지에 파라미터 명이 q인 query가 넘어가는 것을 확인할 수 있다.

q에 검색내용이 담기므로 networkminer를 돌려서 해당 파라미터에 들어간 값들만 모아볼 수도 있다.

hack, sneak, iknowyourewatchingme 3개밖에 안보였는데 답이 h, ha, hac, hack 이란다.. 쩦

hack을 검색한 이후 패킷에서 찾을 수 있다.

307번 패킷에 대한 response 페이지 312번 패킷에 follow > HTTP stream 에 들어가서

preview를 검색했더니 나왔다.

처음에 hacker찾았던 패킷을 기준으로 info 정렬했더니 나왔다.

5번 문제처럼 하면 된다.

이 내용은 이미 #1 풀면서 구했다!

pcap파일이 주어진다.

networkminer로 messages탭을 살펴보면

이메일 내용을 확인할 수 있다.

snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.

따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.

Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.

172.29.1.23에서 172.29.1.20로 직접 전송되었다.

해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.

pcap 파일이 주어진다.

networkminer로 해당 pcap파일을 열어서 messages부분을 확인해보면 문제 지문에서 언급된 betty가 나오는 메세지 내역을 확인할 수 있다.

인코딩된 뒷부분은 그냥 ascii로 변환해주면 된다.

How does Wednesday sound?
Great :) what time?
ah 2pm
Ok, I can't wait!

답은 Wednesday 이다.

해당 메세지들이 어떤 패킷에 어떻게 들어가 있는지를 확인해보기 위해서

wireshark로 먼저 7번 패킷을 확인해 보았다.

IRC 프로토콜을 사용하며, Request/Response형태로 메세지를 주고받는 것을 확인할 수 있다.