Network Forensics Puzzle Contest に挑戦 #2
Download as PPTX, PDF•0 likes•2,292 views
第9回「ネットワーク パケットを読む会(仮)」の発表スライド
![まず Ann の IP アドレスを調べる
• Wireshark で開く
• [Statistics] – [Conversations]
• IPv4 セッションは 6 つ
– 192.168.1.10, 192.168.1.30, 192.168.1.159, 10.1.1.
20, smtp.cs.com (64.12.102.142)
• TCP セッションは 2 つ
– いずれも 192.168.1.159 と smtp.cs.com](https://image.slidesharecdn.com/puzzle02-120625081016-phpapp01/85/Network-Forensics-Puzzle-Contest-2-4-320.jpg)
![フィルタする
• [Conversations] のウィンドウで会話を右
クリック
• [Apply as Filter] – [Selected] – [A⇔B]](https://image.slidesharecdn.com/puzzle02-120625081016-phpapp01/85/Network-Forensics-Puzzle-Contest-2-6-320.jpg)
Network Forensics Puzzle Contest に挑戦 #2
- 1. Network Forensics Puzzle Contest #2 を解析してみた 村地 彰 aka hebikuzure
- 2. Puzzle #2: Ann skips bail • 出題 http://forensicscontest.com/2009/10/10/ puzzle-2-ann-skips-bail • 対象ファイル http://forensicscontest.com/contest02/ev idence02.pcap
- 3. 前回は….. • NetworkMinor に喰わせてみたら全部一 発で答えが出てしまったので • 今回は地道に作業します
- 4. まず Ann の IP アドレスを調べる • Wireshark で開く • [Statistics] – [Conversations] • IPv4 セッションは 6 つ – 192.168.1.10, 192.168.1.30, 192.168.1.159, 10.1.1. 20, smtp.cs.com (64.12.102.142) • TCP セッションは 2 つ – いずれも 192.168.1.159 と smtp.cs.com
- 6. フィルタする • [Conversations] のウィンドウで会話を右 クリック • [Apply as Filter] – [Selected] – [A⇔B]
- 7. TCP ストリームを見る
- 8. ここまででわかる事 • Ann の IP アドレスは 192.168.1.159 • smtp.cs.com の Submission ポートに接続 して SMTP サーバーに AUTH LOGIN で ログインしている • メール アドレスは [email protected] らしい • 送信先は [email protected]
- 9. ユーザー名とパスワード • いずれも BASE64 エンコードされている • ユーザー名 c25lYWt5ZzMza0Bhb2wuY29t • パスワード NTU4cjAwbHo= • デコードして ユーザー名 : [email protected] パスワード : 558r00lz
- 10. メールの内容は? • Sorry-- I can't do lunch next week after all. Heading out of town. = Another time! –Ann • 特に秘密の内容ではなさそう…………
- 11. もう一つのストリームも見る
- 12. こちらが本命か? • 送信先 : [email protected] • 本文 Hi sweetheart! Bring your fake passport and a bathing suit. Address = attached. love, Ann • 偽造パスポートと水着を持参してね、っ てことですか(ー_ー)!!
- 13. 添付ファイルがあるぞ
- 14. 添付ファイル • ファイル名 : secretrendezvous.docx (秘密の逢引) • コンテンツは BASE64 エンコード
- 15. 添付ファイルを取り出す • BASE64 デコード ツールを使う – http://www.rbl.jp/base64.php – http://www.webutils.pl/index.php?idx=bas e64 • メール メッセージとして復元し、メール クライアントで添付ファイルを取り出す – .eml ファイルとして保存し、Outlook Express や Outlook で開く – http://support.microsoft.com/kb/956693/ja
- 16. 取り出したファイルを確認
- 17. ファイルの MD5 を計算 • secretrendezvous.docx 9e423e11db88f01bbff81172839e1923 • image1.png aadeace50997b1ba24b09ac2ef1940b7
- 19. NetworkMiner の勝ちでした • メール メッセージ • メール資格情報(ユーザー名とパスワード) • 添付ファイル • 全部自動抽出してくれました • 後はMD5 を計算するだけ……