본문 바로가기

디지털포렌식 with CTF/네트워크 포렌식 (Network)

(40)
[네트워크 포렌식] 이벤트 예약 웹사이트를 운영하고… 문제에서 압축 파일 하나를 줍니다. 압축을 풀어보겠습니다. 압축을 풀면 위와 같은 디렉토리와 디렉토리에 해당하는 로그 파일들이 존재합니다. Visual Studio Code 프로그램으로 로그 파일들을 열어보겠습니다. accounts 디렉토리의 history 파일입니다. /var/www/upload/editor/image 경로에 777권한을 준 것이 눈에 띕니다. 777권한을 부여한 경로로 검색해보니, ps_eaf 파일에서 프로세스가 검색되었습니다. php -f 명령어로 reverse.php 파일을 실행했습니다. pid는 5245입니다. network 디렉토리의 lsof 로그에서 pid인 5245로 검색해 보았습니다. 1884 라인에 TCP 프로토콜으로 특정 ip와 연결되었다는 점을 발견할 수 있습니다. ..
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #9 #1번 문제의 evidence08.pcap 패킷 파일을 사용합니다. WAP의 관리 암호를 구하는 문제입니다. 문제에서 passphrase라는 단어를 명시했으니 와이어샤크를 열고 passphrase로 검색해 보겠습니다. passphrase로 검색해보면 POST 방식의 패킷 하나를 확인할 수 있습니다. passphrase 값에 hahp0wnedJ00라는 값이 들어있습니다. 이와 같이 #9번의 답을 구할 수 있습니다.
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #8 #1번 문제에서 제공하는 evidence08.pcap 패킷 파일을 사용합니다. username과 password를 구하는 문제입니다. 문제에서 Joe의 MAC 주소를 알려줍니다. 이를 통해 와이어샤크의 필터링 기능으로 Joe의 IP 주소를 찾아보겠습니다. #5번 문제에서 복호화한 패킷 파일에서 Joe의 MAC 주소로 통신한 패킷을 확인해 보겠습니다. 위와 같이 Joe의 MAC 주소로 필터링을 한 뒤, 패킷 상세 페이지에 Joe의 IP 주소를 확인할 수 있습니다. Joe의 IP 주소를 구하였으니 NetworkMiner의 Credentials 탭을 통하여 username과 password를 확인해 보겠습니다. 클라이언트 IP가 Joe의 IP에 해당하는 192.168.1.100 일 때의 username과 pa..
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #7 #1번 문제에서 주어진 evidence08.pcap 패킷 파일을 사용합니다. Joe가 사용하는 WEP 패스워드를 묻습니다. #5번 문제를 풀이할 때 aircrack-ng 프로그램을 통하여 암호화 키의 값을 찾았습니다. 이를 입력하면 문제를 해결할 수 있습니다.
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #6 #1번 패킷에서 받은 evidence08.pcap 파일을 사용합니다. Joe의 access point와 관련된 공격자와 그 이외의 측면에서의 초기화 벡터의 개수를 구하는 문제입니다. 공격자 측면의 초기화 벡터의 개수는 #4번 문제와 같은 방법으로 구할 수 있습니다. 명령어에 대한 설명은 #4번 문제 풀이를 참고하시길 바랍니다. 공격자 이외의 측면에서의 초기화 벡터의 개수는 wlan.sa 부분을 != (같지않음) 으로 바꾸어주면 됩니다. 즉 답은 14133+15587인 29720이 됩니다.
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #5 #1번 문제에서 제공받은 evidence08.pcap 패킷 파일을 사용합니다. 2계층 공격을 실행하는 MAC 주소를 묻고 있습니다. 네트워크 2계층에서의 공격을 알아보기 위하여 aircrack-ng 프로그램으로 암호화 키를 찾아보겠습니다. evidence08.pcap 패킷 파일의 암호화 키를 구하였습니다. airdecap-ng 프로그램으로 패킷 파일을 복호화해 보겠습니다. 위와 같이 -w 옵션으로 암호화 키를 할당해주어 패킷 파일을 복호화해주었습니다. 와이어샤크를 통하여 복호화된 패킷 파일을 열어보겠습니다. 패킷을 분석하다 보면 ARP 프로토콜은 2계층에 속하는 통신 프로토콜이므로 ARP 프로토콜에 의한 공격을 의심해볼 수 있습니다. 지속적으로 ARP 패킷을 보내는 호스트의 MAC 주소는 패킷 상세 페이..
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #4 #1번 문제에서 제공받은 evidenc08.pcap 패킷 파일을 사용합니다. Joe의 access point 패킷에서 WEP 초기화 벡터의 개수를 구하는 문제입니다. 와이어샤크의 필터링 기능을 사용할 수도 있지만, 중복된 초기화 벡터를 제거하지 못하기 때문에 Tshark의 자체 필터링 기능을 사용하겠습니다. 명령어를 해석해보자면 tshark (tshark 프로그램을 실행) -r (다음에 나오는 패킷 파일을 read) evidence08.pcap (패킷 파일) -Y (다음에 나오는 와이어샤크 디스플레이 필터를 사용) '(wlan.bssid == 00:23:69:61:00:d0)' && wlan.wep.iv' (해당하는 디스플레이 필터) -T fields (각 필드를 사용자 정의대로 출력) -e (다음 명령..
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #3 #1번 문제에서 제공받은 evidence08.pcap 패킷 파일을 사용합니다. WEP로 암호화된 데이터 프레임의 개수를 구하는 문제입니다. 와이어샤크 필터링 기능을 통해 암호화된 데이터 프레임의 개수를 알아보겠습니다. WEP로 암호화된 데이터 프레임 패킷은 데이터 프레임 영역에 protected flag가 1로 설정되어 있습니다. 그러므로 데이터 프레임 영역을 찾기 위하여 wlan.fc.type_subtype == 20 구문을 사용하여 데이터 프레임 영역을 지정하여 줍니다. 그리고 wlan.fc.protected == 1 구문을 사용하여 protected flag가 1인 패킷들을 확인하면 됩니다. 위와 같이 필터링을 적용하면 해당하는 패킷들이 쭉 나오게 됩니다. 와이어샤크의 하단 바를 확인하면 displ..
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #2 #1번 문제의 evidence08.pcap 패킷 파일을 사용합니다. 와이어샤크로 패킷 파일을 열어 보겠습니다. 시작부터 종료까지의 시간을 구하라고 하였으므로 와이어샤크의 Time 탭의 정보를 확인하면 됩니다. 마지막 패킷의 Time이 413.576954이므로 이 숫자가 정답이 됩니다.
[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #1 evidence08.pcap 패킷 파일을 제공해줍니다. 이를 와이어샤크로 열어 보겠습니다. 패킷들이 무선 통신한 패킷들(Protocol : 802.11)로 이루어져 있습니다. #1번 문제에서는 SSID와 BSSID를 구하라고 하였으니 와이어샤크에서 패킷 세부 내용을 확인해 보겠습니다. 첫 번째 패킷의 세부 내용입니다. BSS ID는 00:23:69:61:00:d0, SSID는 Ment0rNet 인 것을 확인할 수 있습니다.