繼續來玩解題吧!今天要介紹的題組中,Ann又做了什麼事情了呢?今天就來介紹如何用Wireshark來解出第三個題組「Puzzle #3: Ann’s AppleTV」(網址:http://forensicscontest.com/2009/12/28/anns-appletv ),請先至該題網址中觀看詳細故事前提,並且把pcap檔下載下來。
第一題:What is the MAC address of Ann’s AppleTV?
這一題可以利用Wireshark的統計工具來解決。首先點選功能列的Statistics>Endpoint,就會得到這個封包檔中所有的端點資訊,其中看網卡的部分有三筆,但是一開始顯示的是MAC位址,無法判斷哪個才是我們要找的裝置。
因此把畫面下方的Name Resolution勾起來,Wireshark就會把MAC位址改為顯示設備名稱,這時看到一個叫做Apple_fe的設備,那就是我們要找的答案了,再去對照他的MAC位址是哪一個,就是這一題的答案,因此這一題的答案就是00:25:00:fe:07:c4。
第二題:What User-Agent string did Ann’s AppleTV use in HTTP requests?
知道AppleTV的MAC位址後,找第3個封包可以看到AppleTV的IP就是192.168.1.10,所以在這邊我們就可以下「http && ip.src==192.168.1.10」的過濾指令來過濾出符合題目條件的封包。過濾完成後,展開第一個封包的Hypertext Transfer Protocol內容,或是利用Follow>TCP Stream功能,就可以看到AppleTV的User-Agent,也就是AppleTV/2.4\r\n,其中\r\n是換行符號,所以答案就是AppleTV/2.4。
第三題:What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
因為這題要問的是Ann搜尋時所產生的封包,所以在這邊我們要找的是HTTP Method是GET的封包,因此我們可以使用「http.request.method== "GET"」的過濾指令,將這些封包先過濾出來,接著開始一個一個看封包,直到看到第43的封包的時候,發現他的Info是「GET /WebObjects/MZSearch.woa/wa/incrementalSearch?media=movie&q=h」,除了GET內容包含Incremental Search的內容,而且在網址參數有一個叫做q的,因此我們也可以先暫時猜測這個q代表的就是query的意思,也就是這個參數的值就是Ann正在搜尋的字串。
接著知道目標IP後,我們可以使用「http.request.method == "GET" && ip.dst == 8.18.65.32」來過濾封包,接著結果就只剩下4個封包,參數q中的值則分別是h、ha、hac及hack,就四個值也就是這題的答案。
第四題:What was the title of the first movie Ann clicked on?
這一題一樣是要先找HTTP Method是GET的封包,因此我們可以使用「http.request.method== "GET"」的過濾指令,將這些封包先過濾出來,然後一個一個找看看,接著會發現有些封包的Info欄位裡面有ch=...Movies-Search…等字串,因此這邊我們也可以先推測這就是用來搜尋電影用的封包。由於這些封包的目標IP都是66.235.132.121,所以我們重新下「http.request.method== "GET" && ip.dst==66.235.132.121」這個過濾指令,這時會發現Ann曾經查過兩部電影,第一個是第320個封包中的「Movie%20Page-US-Hackers-Iain」,以及第1189個封包中的「Movie%20Page-US-Sneakers-Phil%20Alden%20Robinson-283963264」,經過Google大神,我們可以知道Ann查的第一個電影就是一部叫做Hackers的電影,而這部電影的導演是Iain。
第五題:What was the full URL to the movie trailer (defined by “preview-url”)?
這一題需要用到Wireshark的搜尋功能,因此選擇功能列的Edit>Find Packet,並且在Packet details中搜尋String「preview-url」,按下確定後就可以看到結果啦 ,就是http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640×278.h264lc.d2.p.m4v 。
第六題:What was the title of the second movie Ann clicked on?
糟糕這題已經不小心在第4題一起解出來了,答案就是第1189個封包所搜尋的Sneakers這部電影。
第七題:What was the price to buy it (defined by “price-display”)?
這題是接續第6題,所以要找的是Sneakers這部影片的價格。根據題目描述,並搭配第5題用到的搜尋功能,搜尋「price-display」這個字串,就可以在第312跟1186個封包找到影片的購買金額資訊,但由於這題是問第2個影片的,所以答案就是$9.99。
第八題:What was the last full term Ann searched for?
這題跟第3題一樣先下「http.request.method =="GET"」的過濾條件,取得過濾結果後,直接從最後面開始往回找,就可以看到最後搜尋的字串就是「iknowyourewatchingme」。