WireShark网络取证实录(2)

举报
xenia 发表于 2019/09/04 06:51:34 2019/09/04
【摘要】 经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“ secret lover x ”,代号X)的人联系。警察局长十...

经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“ secret lover x ”,代号X)的人联系。

警察局长十分重视这个案子,把装有捕获到数据包文件的U盘摆在你的面前,“元芳,你怎么看?”

好了,现在你的任务是要找出翠花都发了什么邮件,并从中找出她去了哪里,打算干什么,并且给出以下问题的答案:

  1. 翠花的电子邮箱地址是什么?

  2. 翠花的电子邮箱密码是什么?

  3. 跟翠花接头的二狗(代号 secret lover x)的电子邮箱地址是什么?

  4. 翠花嘱咐二狗要带上哪两样东西?

  5. 翠花发给二狗邮件的附件名字是什么?

  6. 翠花发给二狗邮件的附件的MD5是什么?

  7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

  8. 文档中嵌入图像的MD5值是什么?

    下面这个地址给出了装有捕获到数据包的文件,你可以对此进行分析来回答以上问题。

    http://forensicscontest.com/contest02/evidence02.pcap

打开这个文件,可以看到里面包含了各种类型的数据包,向下拖动滚动条,很快就可以看到SMTP类型的数据包。


1552529664791094585.png

曾经这个协议在互联网也是独领风骚数十年的,在即时通信工具出现之前,这个协议几乎包揽了网络中的全部通信。SMTP是“Simple Mail Transfer Protocol”的缩写,意义为简单邮件传输协议 。

既然找到了SMTP类型的数据包,那么我们就可以顺藤摸瓜,来看看能找到点什么。

首先找到其中的一个SMTP类型的数据包,例如第56个数据包,然后单击鼠标右键,依次选择“Follow”--“TCP Stream”:


1552529797139093527.png

这样就可以看到整个邮件的内容的了:


1552529841454052209.png



仔细查看,很快可以找到MAIL FROM:


1552529970472056993.png

得,没跑了,翠花用的就是这个邮箱!

接下来,我们来看第二个问题,翠花邮箱的密码是什么?

分析密码一直是网络取证中比较有意思的部分,翠花肯定是先登录邮箱,然后才发送的邮件。

我们从上向下来检查,很快可以发现一个“235 AUTHENTICATION SUCCESSFUL”,显然它的含义是“235认证登陆成功“,


1552575053073010238.png

那么它上面的”AUTH LOGIN”部分十分有可能就是登陆过程,也就是登陆的用户名和密码。


1552575144127077030.png

这里特别提一下的是红颜色的字体表示是由翠花发给服务器的,而蓝颜色字体表示是由服务器返回给翠花的。

那么这个334 VXNlcm5hbWU6表示的是什么含义呢?

到这里肯定有一些读者不知道下一步该怎么做了,没关系,不明白的就百度呗。你不说,谁知道你百度过了。不过百度也要有基础的,例如这里面我们该搜索什么呢,“VXNlcm5hbWU6”不是什么东西编码了,就是加密了。咱们就先用“smtp”+“用户名和密码”+“编码”作为关键词试试。下面给出的是搜索的结果。


1552636557728022048.png

有戏了吧,其实上一条记录也提到了Base64编码,其实Base64是网络上最常见的用于传输8Bit字节码的编码方式之一。

那么既然是编码,就简单了,要是加密了就难办多了。咱们接着找个在线的Base64解码。

1552687040231095260.png


解码了之后的“VXNlcm5hbWU6”为“username”, “UGFzc3dvcmQ6”为“password”,“c25lYWt5ZzMza0Bhb2wuY29t”为“sneakyg33k@aol.com”,这看起来就是一个邮箱地址,和之前的结果是一样的,最后“NTU4cjAwbHo=”解码之后为“558r00lz”,不用说,这个一定是密码了。

接下来,我们来看看跟翠花接头的二狗的电子邮箱地址是什么?

这个问题看起来好像很简单,因为在咱们通过第56个数据包还原的TCP流中已经看到了一项“RCPT TO::”,哈哈,估计有人一拍脑袋,“这就是二狗的邮箱地址了,没跑了”。

搞侦破的这样办事可不中,我们绝不能放过一个坏人,但也不可冤枉一个好人。这里我们如果就此结案的话,就会犯了一个十分致命的错误。

翠花她不一定是就写了一封邮件啊,说不定她在给二狗写信之前,突然觉得自己饿了,就先发邮件定了一份烧烤啊,咱们这么一来就把烧烤店可误会了,看来还得继续。当然,就看sec558这个名也不是什么普通人。咱们接着往下看,有了上面的基础,咱们直接上过滤器“SMTP”,然后再回头来看。

1552688432072098362.png

咋样,看到了吧,这里面RCPT TO的出现了两次,也就是说翠花一共发了两封邮件,一份是给sec558@gmail.com的,另一份是发给mistersecretx@aol.com的。瞪大眼睛看,二狗这货居然真的给自己起名为神秘情人x(mistersecretx),咋想的,他咋不上天呢!看来没跑了,就是他了!二狗的邮箱就是mistersecretx@aol.com。

第4个问题是,翠花嘱咐二狗要带上哪两样东西?这得查看邮件里面的内容了,咱们还是按照刚才的方法,在第二封邮件产生的数据包上点击,然后导出成TCP流,仔细查看,就可以找到以下的一句话:

1552729750773062763.png

大意就是“亲啊,带上你的假护照和泳衣,到附件中的地点来!”,这个二狗是大阪城的姑娘吧,咋不赶着马车来呢?

第5个问题是,翠花发给二狗邮件的附件名字是什么?

这个好说,很容易就可以在TCP流窗口中找到:

1552730244829008452.png

很容易发现附件的名字就是“secretrendezvous.docx”。其实也可以直接用attachment作为关键字来搜索。

6.翠花发给二狗邮件的附件的MD5是什么?

7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

8.文档中嵌入图像的MD5值是什么?

剩下的几个问题都与附件有关,看来我们得先把邮件中的附件弄出来了。通过第5题,我们已经知道了这个文件的名字为secretrendezvous.docx

下面这些乱七八糟的字符就是附件的内容了。

1552787638977070310.png

        考虑到这个附件一定是已经通过某种编码形式才转换成这些字符的,只要我们知道了这种编码的格式,然后对其进行解码就可以了。有基础的读者可能直接联想到base64。

        不过如果事先对此一无所知的话,又该如何呢?其实搜索引擎就是最好的老师,不管大牛在某一领域多么风光,换个领域他一样是个门外汉,所以总会遇到不知道的问题,无所谓,谷歌或百度就好了,大家都是这么过来的。

        我们用关键词“邮件附件 编码”作为关键词,百度一下,可以看到如下的页面:


1552788209342011215.png

        这里多谢Y_momo的文章,打开阅读之后发现里面提到了三种编码的方式,ASCII码、quoted-printable、base64编码,详细的内容这里不再赘述了,这里的附件就是采用了base64编码的。

        我们可以以此来解码即可。但是这里有一个问题,跟上一个例子不一样,我们并不是要把这个base64编码的字符转换成可以可以读懂的字符,而是要将其转换成一个文件,所以不能简单的

照搬之前的做法,这里我们需要找一个可以将base64编码还原成文件的方法,这一点可以通过编程来实现。简单点的话,我们可以使用在线的转化工具,下面给出的就是一个这样的工具:

        https://www.motobit.com/util/base64-decoder-encoder.asp

        

1552790752522068227.png

        

1552792286356044889.png

        解码完成之后,就会弹出的一个窗口,将这个文件保存。

        

1552790868565047745.png

        使用MD5值计算工具可以得到这个文档的MD5值为9E423E11DB88F01BBFF81172839E1923。       

        

        打开之后,可以看到word的内容为:

       


1552790916372099104.png

                里面定好的地点就是墨西哥的Playa del Carmen。

                 最后的一个问题就是要计算图片的MD5了,这个题看似最简单,其实很容易出现问题,如果直接将图片复制另存的话,就会得到一个不同的答案,在取证过程中应该避免这种做法。

                计算得到的结果为“AADEACE50997B1BA24B09AC2EF1940B7”,具体的做法是使用winrar来打开这个word文件:

                image.png

                其中的图片位于secretrendezvous.docx\word\media ,找到图片,将其单独解压缩出来计算MD5值。

                好了,第二部分也正式结束!不过接下来故事中,二狗的戏份要多了


本文转载自异步社区

原文链接:https://www.epubit.com/articleDetails?id=N94e18193-8dae-4fdf-abe5-bb23f551418d

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200