WireShark网络取证实录(2)

栏目: 编程工具 · 发布时间: 5年前

内容简介:经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“警察局长十分重视这个案子,把装有捕获到数据包文件的U盘摆在你的面前,“元芳,你怎么看?”好了,现在你的任务是要找出翠花都发了什么邮件,并从中找出她去了哪里,打算干什么,并且给出以下问

经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“ secret lover x  ”,代号X)的人联系。

警察局长十分重视这个案子,把装有捕获到数据包文件的U盘摆在你的面前,“元芳,你怎么看?”

好了,现在你的任务是要找出翠花都发了什么邮件,并从中找出她去了哪里,打算干什么,并且给出以下问题的答案:

  1. 翠花的电子邮箱地址是什么?

  2. 翠花的电子邮箱密码是什么?

  3. 跟翠花接头的二狗(代号  secret lover x )的电子邮箱地址是什么?

  4. 翠花嘱咐二狗要带上哪两样东西?

  5. 翠花发给二狗邮件的附件名字是什么?

  6. 翠花发给二狗邮件的附件的MD5是什么?

  7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

  8. 文档中嵌入图像的MD5值是什么?

    下面这个地址给出了装有捕获到数据包的文件,你可以对此进行分析来回答以上问题。

    http://forensicscontest.com/contest02/evidence02.pcap

打开这个文件,可以看到里面包含了各种类型的数据包,向下拖动滚动条,很快就可以看到SMTP类型的数据包。

WireShark网络取证实录(2)

曾经这个协议在互联网也是独领风骚数十年的,在即时通信 工具 出现之前,这个协议几乎包揽了网络中的全部通信。SMTP是“Simple Mail Transfer Protocol”的缩写,意义为简单邮件传输协议 。

既然找到了SMTP类型的数据包,那么我们就可以顺藤摸瓜,来看看能找到点什么。

首先找到其中的一个SMTP类型的数据包,例如第56个数据包,然后单击鼠标右键,依次选择“Follow”--“TCP Stream”:

WireShark网络取证实录(2)

这样就可以看到整个邮件的内容的了:

WireShark网络取证实录(2)

仔细查看,很快可以找到 MAIL FROM:

WireShark网络取证实录(2)

得,没跑了,翠花用的就是这个邮箱!

接下来,我们来看第二个问题,翠花邮箱的密码是什么?

分析密码一直是网络取证中比较有意思的部分,翠花肯定是先登录邮箱,然后才发送的邮件。

我们从上向下来检查,很快可以发现一个“235 AUTHENTICATION SUCCESSFUL”,显然它的含义是“235认证登陆成功“,

WireShark网络取证实录(2)

那么它上面的”AUTH LOGIN”部分十分有可能就是登陆过程,也就是登陆的用户名和密码。

WireShark网络取证实录(2)

这里特别提一下的是红颜色的字体表示是由翠花发给服务器的,而蓝颜色字体表示是由服务器返回给翠花的。

那么这个334 VXNlcm5hbWU6表示的是什么含义呢?

到这里肯定有一些读者不知道下一步该怎么做了,没关系,不明白的就百度呗。你不说,谁知道你百度过了。不过百度也要有基础的,例如这里面我们该搜索什么呢,“VXNlcm5hbWU6”不是什么东西编码了,就是加密了。咱们就先用“smtp”+“用户名和密码”+“编码”作为关键词试试。下面给出的是搜索的结果。

WireShark网络取证实录(2)

有戏了吧,其实上一条记录也提到了Base64编码,其实 Base64是网络上最常见的用于传输8Bit 字节码 的编码方式之一。

那么既然是编码,就简单了,要是加密了就难办多了。咱们接着找个在线的Base64解码。

WireShark网络取证实录(2)

解码了之后的“ VXNlcm5hbWU6”为“username”,   “UGFzc3dvcmQ6”为“password”,“ c25lYWt5ZzMza0Bhb2wuY29t ”为“sneakyg33k@aol.com”,这看起来就是一个邮箱地址,和之前的结果是一样的,最后“NTU4cjAwbHo=”解码之后为“558r00lz”,不用说,这个一定是密码了。

接下来,我们来看看 跟翠花接头的二狗的电子邮箱地址是什么?

这个问题看起来好像很简单,因为在咱们通过第56个数据包还原的TCP流中已经看到了一项“ RCPT TO: : ”,哈哈,估计有人一拍脑袋,“这就是二狗的邮箱地址了,没跑了”。

搞侦破的这样办事可不中, 我们绝不能放过一个坏人,但也不可冤枉一个好人。这里我们如果就此结案的话,就会犯了一个十分致命的错误。

翠花她不一定是就写了一封邮件啊,说不定她在给二狗写信之前,突然觉得自己饿了,就先发邮件定了一份烧烤啊,咱们这么一来就把烧烤店可误会了,看来还得继续。当然,就看 sec558 这个名也不是什么普通人。咱们接着往下看,有了上面的基础,咱们直接上过滤器“SMTP”,然后再回头来看。

WireShark网络取证实录(2)

咋样,看到了吧,这里面RCPT TO的出现了两次,也就是说翠花一共发了两封邮件, 一份是给 sec558@gmail.com的,另一份是发给mistersecretx@aol.com的。瞪大眼睛看,二狗这货居然真的给自己起名为神秘情人x( mistersecretx ),咋想的,他咋不上天呢!看来没跑了,就是他了!二狗的邮箱就是 mistersecretx@aol.com。

第4个问题是,翠花嘱咐二狗要带上哪两样东西?这得查看邮件里面的内容了,咱们还是按照刚才的方法,在第二封邮件产生的数据包上点击,然后导出成TCP流,仔细查看,就可以找到以下的一句话:

WireShark网络取证实录(2)

大意就是“亲啊,带上你的假护照和泳衣,到附件中的地点来!”,这个二狗是大阪城的姑娘吧,咋不赶着马车来呢?

第5个问题是,翠花发给二狗邮件的附件名字是什么?

这个好说,很容易就可以在TCP流窗口中找到:

WireShark网络取证实录(2)

很容易发现附件的名字就是“ secretrendezvous.docx ”。其实也可以直接用attachment作为关键字来搜索。

6.翠花发给二狗邮件的附件的MD5是什么?

7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

8.文档中嵌入图像的MD5值是什么?

剩下的几个问题都与附件有关,看来我们得先把邮件中的附件弄出来了。通过第5题,我们已经知道了这个文件的名字为 secretrendezvous.docx

下面这些乱七八糟的字符就是附件的内容了。

WireShark网络取证实录(2)

考虑到这个附件一定是已经通过某种编码形式才转换成这些字符的,只要我们知道了这种编码的格式,然后对其进行解码就可以了。有基础的读者可能直接联想到base64。

不过如果事先对此一无所知的话,又该如何呢?其实搜索引擎就是最好的老师,不管大牛在某一领域多么风光,换个领域他一样是个门外汉,所以总会遇到不知道的问题,无所谓,谷歌或百度就好了,大家都是这么过来的。

我们用关键词“邮件附件 编码”作为关键词,百度一下,可以看到如下的页面:

WireShark网络取证实录(2)

这里多谢Y_momo的文章,打开阅读之后发现里面提到了三种编码的方式, ASCII码、quoted-printable、base64编码,详细的内容这里不再赘述了,这里的附件就是采用了base64编码的。

我们可以以此来解码即可。但是这里有一个问题,跟上一个例子不一样,我们并不是要把这个base64编码的字符转换成可以可以读懂的字符,而是要将其转换成一个文件,所以不能简单的

照搬之前的做法,这里我们需要找一个可以将base64编码还原成文件的方法,这一点可以通过编程来实现。简单点的话,我们可以使用在线的转化工具,下面给出的就是一个这样的工具:

https://www.motobit.com/util/base64-decoder-encoder.asp

WireShark网络取证实录(2)

WireShark网络取证实录(2)

解码完成之后,就会弹出的一个窗口,将这个文件保存。

WireShark网络取证实录(2)

使用MD5值计算工具可以得到这个文档的MD5值为9E423E11DB88F01BBFF81172839E1923。       

打开之后,可以看到word的内容为:

WireShark网络取证实录(2)

里面定好的地点就是墨西哥的 Playa del Carmen。

最后的一个问题就是要计算图片的MD5了,这个题看似最简单,其实很容易出现问题,如果直接将图片复制另存的话,就会得到一个不同的答案,在取证过程中应该避免这种做法。

计算得到的结果为“AADEACE50997B1BA24B09AC2EF1940B7”,具体的做法是使用winrar来打开这个word文件:

WireShark网络取证实录(2)

其中的图片位于secretrendezvous.docx\word\media ,找到图片,将其单独解压缩出来计算MD5值。

好了,第二部分也正式结束!不过接下来故事中,二狗的戏份要多了。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Building Social Web Applications

Building Social Web Applications

Gavin Bell / O'Reilly Media / 2009-10-1 / USD 34.99

Building a social web application that attracts and retains regular visitors, and gets them to interact, isn't easy to do. This book walks you through the tough questions you'll face if you're to crea......一起来看看 《Building Social Web Applications》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具