WireShark网络取证实录(2)

栏目: 编程工具 · 发布时间: 5年前

内容简介:经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“警察局长十分重视这个案子,把装有捕获到数据包文件的U盘摆在你的面前,“元芳,你怎么看?”好了,现在你的任务是要找出翠花都发了什么邮件,并从中找出她去了哪里,打算干什么,并且给出以下问

经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“ secret lover x  ”,代号X)的人联系。

警察局长十分重视这个案子,把装有捕获到数据包文件的U盘摆在你的面前,“元芳,你怎么看?”

好了,现在你的任务是要找出翠花都发了什么邮件,并从中找出她去了哪里,打算干什么,并且给出以下问题的答案:

  1. 翠花的电子邮箱地址是什么?

  2. 翠花的电子邮箱密码是什么?

  3. 跟翠花接头的二狗(代号  secret lover x )的电子邮箱地址是什么?

  4. 翠花嘱咐二狗要带上哪两样东西?

  5. 翠花发给二狗邮件的附件名字是什么?

  6. 翠花发给二狗邮件的附件的MD5是什么?

  7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

  8. 文档中嵌入图像的MD5值是什么?

    下面这个地址给出了装有捕获到数据包的文件,你可以对此进行分析来回答以上问题。

    http://forensicscontest.com/contest02/evidence02.pcap

打开这个文件,可以看到里面包含了各种类型的数据包,向下拖动滚动条,很快就可以看到SMTP类型的数据包。

WireShark网络取证实录(2)

曾经这个协议在互联网也是独领风骚数十年的,在即时通信 工具 出现之前,这个协议几乎包揽了网络中的全部通信。SMTP是“Simple Mail Transfer Protocol”的缩写,意义为简单邮件传输协议 。

既然找到了SMTP类型的数据包,那么我们就可以顺藤摸瓜,来看看能找到点什么。

首先找到其中的一个SMTP类型的数据包,例如第56个数据包,然后单击鼠标右键,依次选择“Follow”--“TCP Stream”:

WireShark网络取证实录(2)

这样就可以看到整个邮件的内容的了:

WireShark网络取证实录(2)

仔细查看,很快可以找到 MAIL FROM:

WireShark网络取证实录(2)

得,没跑了,翠花用的就是这个邮箱!

接下来,我们来看第二个问题,翠花邮箱的密码是什么?

分析密码一直是网络取证中比较有意思的部分,翠花肯定是先登录邮箱,然后才发送的邮件。

我们从上向下来检查,很快可以发现一个“235 AUTHENTICATION SUCCESSFUL”,显然它的含义是“235认证登陆成功“,

WireShark网络取证实录(2)

那么它上面的”AUTH LOGIN”部分十分有可能就是登陆过程,也就是登陆的用户名和密码。

WireShark网络取证实录(2)

这里特别提一下的是红颜色的字体表示是由翠花发给服务器的,而蓝颜色字体表示是由服务器返回给翠花的。

那么这个334 VXNlcm5hbWU6表示的是什么含义呢?

到这里肯定有一些读者不知道下一步该怎么做了,没关系,不明白的就百度呗。你不说,谁知道你百度过了。不过百度也要有基础的,例如这里面我们该搜索什么呢,“VXNlcm5hbWU6”不是什么东西编码了,就是加密了。咱们就先用“smtp”+“用户名和密码”+“编码”作为关键词试试。下面给出的是搜索的结果。

WireShark网络取证实录(2)

有戏了吧,其实上一条记录也提到了Base64编码,其实 Base64是网络上最常见的用于传输8Bit 字节码 的编码方式之一。

那么既然是编码,就简单了,要是加密了就难办多了。咱们接着找个在线的Base64解码。

WireShark网络取证实录(2)

解码了之后的“ VXNlcm5hbWU6”为“username”,   “UGFzc3dvcmQ6”为“password”,“ c25lYWt5ZzMza0Bhb2wuY29t ”为“sneakyg33k@aol.com”,这看起来就是一个邮箱地址,和之前的结果是一样的,最后“NTU4cjAwbHo=”解码之后为“558r00lz”,不用说,这个一定是密码了。

接下来,我们来看看 跟翠花接头的二狗的电子邮箱地址是什么?

这个问题看起来好像很简单,因为在咱们通过第56个数据包还原的TCP流中已经看到了一项“ RCPT TO: : ”,哈哈,估计有人一拍脑袋,“这就是二狗的邮箱地址了,没跑了”。

搞侦破的这样办事可不中, 我们绝不能放过一个坏人,但也不可冤枉一个好人。这里我们如果就此结案的话,就会犯了一个十分致命的错误。

翠花她不一定是就写了一封邮件啊,说不定她在给二狗写信之前,突然觉得自己饿了,就先发邮件定了一份烧烤啊,咱们这么一来就把烧烤店可误会了,看来还得继续。当然,就看 sec558 这个名也不是什么普通人。咱们接着往下看,有了上面的基础,咱们直接上过滤器“SMTP”,然后再回头来看。

WireShark网络取证实录(2)

咋样,看到了吧,这里面RCPT TO的出现了两次,也就是说翠花一共发了两封邮件, 一份是给 sec558@gmail.com的,另一份是发给mistersecretx@aol.com的。瞪大眼睛看,二狗这货居然真的给自己起名为神秘情人x( mistersecretx ),咋想的,他咋不上天呢!看来没跑了,就是他了!二狗的邮箱就是 mistersecretx@aol.com。

第4个问题是,翠花嘱咐二狗要带上哪两样东西?这得查看邮件里面的内容了,咱们还是按照刚才的方法,在第二封邮件产生的数据包上点击,然后导出成TCP流,仔细查看,就可以找到以下的一句话:

WireShark网络取证实录(2)

大意就是“亲啊,带上你的假护照和泳衣,到附件中的地点来!”,这个二狗是大阪城的姑娘吧,咋不赶着马车来呢?

第5个问题是,翠花发给二狗邮件的附件名字是什么?

这个好说,很容易就可以在TCP流窗口中找到:

WireShark网络取证实录(2)

很容易发现附件的名字就是“ secretrendezvous.docx ”。其实也可以直接用attachment作为关键字来搜索。

6.翠花发给二狗邮件的附件的MD5是什么?

7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

8.文档中嵌入图像的MD5值是什么?

剩下的几个问题都与附件有关,看来我们得先把邮件中的附件弄出来了。通过第5题,我们已经知道了这个文件的名字为 secretrendezvous.docx

下面这些乱七八糟的字符就是附件的内容了。

WireShark网络取证实录(2)

考虑到这个附件一定是已经通过某种编码形式才转换成这些字符的,只要我们知道了这种编码的格式,然后对其进行解码就可以了。有基础的读者可能直接联想到base64。

不过如果事先对此一无所知的话,又该如何呢?其实搜索引擎就是最好的老师,不管大牛在某一领域多么风光,换个领域他一样是个门外汉,所以总会遇到不知道的问题,无所谓,谷歌或百度就好了,大家都是这么过来的。

我们用关键词“邮件附件 编码”作为关键词,百度一下,可以看到如下的页面:

WireShark网络取证实录(2)

这里多谢Y_momo的文章,打开阅读之后发现里面提到了三种编码的方式, ASCII码、quoted-printable、base64编码,详细的内容这里不再赘述了,这里的附件就是采用了base64编码的。

我们可以以此来解码即可。但是这里有一个问题,跟上一个例子不一样,我们并不是要把这个base64编码的字符转换成可以可以读懂的字符,而是要将其转换成一个文件,所以不能简单的

照搬之前的做法,这里我们需要找一个可以将base64编码还原成文件的方法,这一点可以通过编程来实现。简单点的话,我们可以使用在线的转化工具,下面给出的就是一个这样的工具:

https://www.motobit.com/util/base64-decoder-encoder.asp

WireShark网络取证实录(2)

WireShark网络取证实录(2)

解码完成之后,就会弹出的一个窗口,将这个文件保存。

WireShark网络取证实录(2)

使用MD5值计算工具可以得到这个文档的MD5值为9E423E11DB88F01BBFF81172839E1923。       

打开之后,可以看到word的内容为:

WireShark网络取证实录(2)

里面定好的地点就是墨西哥的 Playa del Carmen。

最后的一个问题就是要计算图片的MD5了,这个题看似最简单,其实很容易出现问题,如果直接将图片复制另存的话,就会得到一个不同的答案,在取证过程中应该避免这种做法。

计算得到的结果为“AADEACE50997B1BA24B09AC2EF1940B7”,具体的做法是使用winrar来打开这个word文件:

WireShark网络取证实录(2)

其中的图片位于secretrendezvous.docx\word\media ,找到图片,将其单独解压缩出来计算MD5值。

好了,第二部分也正式结束!不过接下来故事中,二狗的戏份要多了。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

必然

必然

凯文·凯利 (Kevin Kelly) / 周峰、董理、金阳 / 译言·东西文库/电子工业出版社 / 2016-1-1 / 58

《必然》的作者凯文·凯利,被称为“硅谷精神之父”和“世界互联网教父”。前两部《失控》和《科技想要什么》在中国出版后,引起巨大反响。书中凯文·凯利对十二种必然的科技力量加以详细的阐述,并描绘出未来三十年这些趋势如何形成合力指引我们前行的方向。 作者凯文·凯利基于过往从业经历和对未来趋势的敏锐观察对十二个关键词“形成”“知化”“流动”“屏读”“使用”“共享”“过滤”“重混”“互动”“追踪”“提问......一起来看看 《必然》 这本书的介绍吧!

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具