Network Forensic #37 (Sans Network Forensic [Puzzle 8] #7)

 

네트워크 포렌식 37번 문제

 

Sans Network Forensic 마지막 정리이다.

 

우선 1번 ~ 6번 문제 풀이 때 사용했었던 필수 도구인 Wireshark로 해당 파일을 열어준다.

 

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

 

다운로드 사이트 : https://www.wireshark.org/download.html

 

Wireshark · Download

Riverbed is Wireshark's primary sponsor and provides our funding. They also make great products that fully integrate with Wireshark. I have a lot of traffic... ANSWER: SteelCentral™ AppResponse 11 • Full stack analysis – from packets to pages • Rich perfor

www.wireshark.org

이번 문제는 Joe가 사용하는 WEP 패스워드를 구하는 문제이다.

 

이 문제는 특별하게 정리할 내용이 없다..

 

그 이유는, 앞에 5번 문제에서 풀이한 aircrack-ng 도구를 통해 WEP 패스워드를 이미 구했기 때문이다.

 

[그림 1] WEP 패스워드 확인

 

위 화면에서 보이는 것은 WEP 패스워드이다.

 

플래그로 입력해주면 문제 해결이 가능하다..!

Network Forensic #38 (Sans Network Forensic [Puzzle 8] #8)

 

네트워크 포렌식 38번 문제

 

문제에서 설명하는 WAP의 관리자는 Joe이다. 

 

Joe의 MAC 주소(00:11:22:33:44:55)는 문제에서 알려주었으니 Joe의 MAC 주소를 통해 Joe의 IP 주소를 확인할 수 있다.

 

Wireshark의 필터 기능을 이용해서 Joe의 MAC 주소로 통신한 패킷을 확인하면 DHCP를 통해 IP를 할당 받은 것을 확인 가능하다.

 

[그림 2] Joe의 IP 주소 확인

 

해당 DHCP 패킷을 통해 Joe의 IP 주소는 192.168.1.100이라는 것을 확인할 수 있다.

 

이제 NetworkMiner 도구를 사용해보자.

 

NetworkMiner : 네트워크 포렌식 분석 도구로써 사용하는 운영체제나 세션, 호스트 이름, 열려있는 포트 정보 탐지 기능 등 상세한 정보를 얻을 수 있는 도구

 

다운로드 사이트 : https://www.netresec.com/index.ashx?page=NetworkMiner

 

NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏

Network Miner is a network forensics tool for analyzing network traffic

www.netresec.com

 

[그림 3] Joe Username과 Password

 

NetworkMiner를 사용해 [Credentials] 탭을 확인해보면 Joe의 IP 주소인 192.168.1.100에서 192.168.1.1로 접속한 Username과 Password를 위 화면처럼 확인할 수 있다.

 

[그림 4] NetworkMiner Parameters 확인

 

또한 [Parameters] 탭을 통해 IP 주소 192.168.1.100에서 192.168.1.1로 보내지는 패킷을 확인해보면 Authorization이라는 Parameter name을 확인할 수 있으며 Parameter value 값에 base64로 인코딩 된 문자열을 확인할 수 있다.

 

따라서 username과 password를 플래그로 입력해주면 문제 해결이 가능하다.

Network Forensic #39 (Sans Network Forensic [Puzzle 8] #9)

 

네트워크 포렌식 39번 문제

 

이번 문제는 WAP의 관리 암호가 무엇으로 변경되었는지 구하는 문제이다.

 

문제에서 passphrase라는 단어가 이번 문제의 결정적 힌트이다.

 

Wireshark의 찾기 기능을 이용해서 String 검색으로 Packet details에서 passphrase 단어를 찾으면 POST 패킷 하나를 확인할 수 있다.

 

[그림 5] passphrase 값 확인

 

passphrase 값에 hahp0~ 이라는 값이 들어가 있는 것을 확인할 수 있으며, 플래그로 입력해주면 된다.

# Reference

 

http://www.yes24.com/Product/Goods/59156934

저작자표시 (새창열림)

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Network Forensic] 특정 위치에 무선 트래픽이 포함된...  (0) 2020.04.03
[Network Forensic] 우리의 제일 귀여운...  (0) 2020.04.03
[Network Forensic] Sans Network Forensic [Puzzle 8] #4, #5, #6  (0) 2020.03.13
[Network Forensic] Sans Network Forensic [Puzzle 8] #1, #2, #3  (0) 2020.03.13
[Network Forensic] Sans Network Forensic [Puzzle 7]  (0) 2020.03.13

+ Recent posts

티스토리툴바