iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 15
1
Security

鯊魚咬電纜:30天玩Wireshark系列 第 18

[Day 15] 解解題Puzzle #2: Ann Skips Bail

繼大前天的Puzzle #1解題遊戲,這次Ann又發生了什麼事情了呢?今天就來介紹如何用Wireshark來解出第二個題組「Puzzle #2: Ann Skips Bail」(網址:http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail ),請先至該題網址中觀看詳細故事前提,並且把pcap檔下載下來。

這次的題目跟Email有關係,所以先稍微幫大家複習一下幾個常見與Email相關的協定名稱,包含簡單郵件傳輸協定(Simple Mail Transfer Protocol, SMTP)、郵局協定第3版(Post Office Protocol,POP)及網際網路資訊存取協定(Internet Message Access Protocol,IMAP )。

第1題:What is Ann’s email address?
因為是email,就直接找smtp協定的封包,所以在指令下smtp過濾出使用這個協定的封包,並在封包上按右鍵,選擇Follow > TCP Stream,點開來就看到Ann的Email就是sneakyg33k@aol.com。

https://ithelp.ithome.com.tw/upload/images/20180104/20107304r7y1GKn1X1.png

第2題:What is Ann’s email password?
接續上一題的Follow > TCP Stream畫面,可以在裡面看到AUTH LOGIN的字樣,其中334 VXNlcm5hbWU6用base 64編碼還原後可以得到username,334 UGFzc3dvcmQ6用base 64 編碼還原後可以得到password,因此235 AUTHENTICATION SUCCESSFUL也照樣用base 64編碼還原後就可以得到密碼:558r00lz。

https://ithelp.ithome.com.tw/upload/images/20180104/20107304r7y1GKn1X1.png

第3題:What is Ann’s secret lover’s email address?
直接觀察所有的封包,就會發現地132個封包中可以找到這個神秘的Email: mistersecretx@aol.com。

https://ithelp.ithome.com.tw/upload/images/20180104/20107304pAhYAYSsb1.png

第4題:What two items did Ann tell her secret lover to bring?
在第132個封包上點選Follow > TCP Stream,就可以直接看到一段明碼,內容如下:
Hi sweetheart! Bring your fake passport and a bathing suit. Address =
attached. love, Ann
這段文字也就包含了我們要找的答案:A fake passport and a bathing suit。

https://ithelp.ithome.com.tw/upload/images/20180104/20107304t7hGF73P4K.png

第5題:What is the NAME of the attachment Ann sent to her secret lover?
這可以接著上一題來看,只要在找到上一題答案的地方再往下幾行就看得到這一題的答案:filename:secretrendezvous.docx

https://ithelp.ithome.com.tw/upload/images/20180104/20107304DC20DtLmRn.png

第6題:What is the MD5sum of the attachment Ann sent to her secret lover?
這一題雖然也是要把檔案還原出來,但使用的方法跟之前介紹過的並不同,在這邊是會看到封包中有一段亂碼,要把這段亂碼複製起來,並且用網路上的decode base64 to file等轉檔工具把這串密文進行轉檔。轉檔完成後會得到一個docx的檔案,而這個檔案的MD5sum就是9e423e11db88f01bbff81172839e1923。

https://ithelp.ithome.com.tw/upload/images/20180104/20107304mHabR13M4a.png

https://ithelp.ithome.com.tw/upload/images/20180104/20107304oAUC4DqPPr.png

這邊補充一下,可能會有人問說你怎麼知道這串東西要用base64來解譯或轉檔,其實如果看多了就會知道,如果在一大串亂碼中,發現這串亂碼包含A-Z、a-z、0-9、+、/,而且最後幾個字元還是=,那就有極大可能是經過base64編譯後的結果。為什麼,因為base64所編譯後的結果就是包含A-Z、a-z、0-9、+、/,而且如果要編碼的位元組數不能被3整除,最後會多出1個或2個位元組,字串的最後就會加上一個或兩個'='號,代表補足的位元組數,所以如果看到是這樣組合的字串,不論長短,都可以拿base64來解譯看看!但解譯後得到的結果會是什麼類型檔案就必須再用另外的方式來判斷了,這一題是因為從封包內容就可以看出檔案名稱,所以也就知道他是一個docx檔案。

第7題:In what CITY and COUNTRY is their rendez-vous point?
打開剛剛轉出來的文件,可以在裡面看到一張圖片顯示一個地圖,而地圖上標示的地點就是這題答案,也就是Playa del Carmen, Mexico。

https://ithelp.ithome.com.tw/upload/images/20180104/20107304NXhQWCjn4d.png

第8題:What is the MD5sum of the image embedded in the document?
這一題很簡單,就把這張圖片另存新檔後,就可以得到檔案的MD5sum值囉:aadeace50997b1ba24b09ac2ef1940b7。


上一篇
[Day 14] 再摸一天的Wireshark統計功能!
下一篇
[Day 16] 解解題Puzzle #3: Ann’s AppleTV
系列文
鯊魚咬電纜:30天玩Wireshark51

2 則留言

0
kevin79061
iT邦新手 5 級 ‧ 2018-02-02 15:30:18

第8題圖片的MD5sum值,我的為什麼是:55ca95ea01264df9128649238b516d76

WLLO iT邦新手 4 級 ‧ 2018-02-10 22:51:14 檢舉

可以請問一下你產生MD5sum的方式嗎?
下圖是我產生的MD5sum,給你參考喔~
https://ithelp.ithome.com.tw/upload/images/20180210/201073045hLhPCW9GC.png

0
1yywyy1
iT邦新手 5 級 ‧ 2018-08-26 22:00:11

我的两道题的MD5值都对不上,我是将图片另存为,然后将图片拖到计算MD5值的软件里面计算的,有哪里不对吗(╥╯^╰╥)

WLLO iT邦新手 4 級 ‧ 2018-08-26 22:38:40 檢舉

你好,這個問題我猜會不會是取得圖片的方式導致答案不一樣
(1) 將docx檔以zip方式開啟,找到目標圖片(\word\media\image1.png),拿去計算MD5 Hash值會是 aadeace50997b1ba24b09ac2ef1940b7
(2) 將docx直接開啟,將文件中圖片另存成圖片,拿去計算MD5 Hash值會是ccac6f601827d2f02f63b3bfba7a3dc8

以上供你參考~

1yywyy1 iT邦新手 5 級 ‧ 2018-08-27 15:51:18 檢舉

对对对,用zip方式就是答案了,谢谢楼主!m(__)m

我要留言

立即登入留言