今天繼續介紹解題囉,這次的題目是「Puzzle #7: Ann’s Dark Tangent (DEFCON 2010) 」,請大家到網站(網址:http://forensicscontest.com/2011/07/31/puzzle-7-anns-dark-tangent-defcon-2010 )上下載封包檔案跟觀看故事概要囉。
先預告大家,今天這一題沒有辦法單靠Wireshark就解出來,必須搭配一個叫做aircrack-ng的無線網路破解工具才辦法進行,這個工具可以在kali linux裡找到,但沒有的人也不用擔心,待會也可以直接從Wireshark輸入密碼後就可以把封包解密。
一把封包檔打開後,會發現包含來源IP、目標IP等等的資訊都看不到.而Protocol的地方寫的都是802.11,這代表什麼呢?這代表這個封包是被無線網路加密的,必須要先處理一下才能看到裡面的內容。
那要如何解密呢?我是用aircrack-ng這個工具來執行,首先啟動Kali linux,下載題目封包檔案,打開terminal視窗,並輸入「aircrack-ng evidence-defcon2010.pcap」的指令,請記得檔案要附上完整路徑,例如我的檔案放在Downloads下面,指令就要下成「aircrack-ng Downloads/evidence-defcon2010.pcap」,如下圖紅框。執行指令後,我們發現工具已經把無線網路的加密方式跟密碼都告訴我們了,從綠框可以得到加密方式是WEP,而藍框則可以得到密碼是「4A:7D:B5:08:CD」。
如果懶得裝Kali linux或aircrack-ng的話也沒關係,反正我已經告訴你密碼了,有了密碼就可以直接在Wireshark中將流量解密。方法是在Wireshark的工具列選擇View > Wireless Toolbar,過濾列的下方就會出現一個802.11 Preference的按鈕。
按下這個按鈕後,就會進到Wireshark編輯無線網路參數的功能,這時點選編輯Decryption keys的按鈕。
接著按下方的加號,根據剛剛利用aircrack-ng取得的加密方式跟密碼,新增一組密碼,Key type選擇wep,Key則輸入4A:7D:B5:08:CD,輸入完成後按OK跳回上圖畫面,再按一次OK回到封包列表畫面。
一回來就發現封包已經長得不一樣了,因為原本被無線網路加密的封包已經被解密了,而有些原本看不到的資訊現在也都看的到了,下圖紅框處也多了一個頁籤,可以觀看封包解密後的內容,那接下來就可以開始進入正題來解今天的題目囉。
網站上的題目只告訴你Ann想要召開一個秘密聚會,而我們要自行從封包去找線索把地點找出來。好,現在我們一頭霧水不知從何看起,所以決定先用統計工具看一下這個封包有用到那些Protocol,所以就使用之前講過的Statistics>Protocol Hierarchy功能來看看,而從列表中我們可以發現這個封包包含DNS、SMTP、SSL、IMAP、HTTP、ARP幾個協定,其中SMTP跟IMAP代表使用者有在收發信件,那我們就先來看看信裡有寫了什麼吧。
在過濾欄位下「smtp」的指令,並在第一個封包按右鍵,選擇Follow>TCP Stream,接著就可以在TCP Stream中看到一封信,如下圖紅框處。
信中文字提到有一個附檔,而從上圖藍框處可以看得出傳的是一個叫做IMG_0002.GIF的檔案,而且是用base64加密過。既然有這些資訊,我們就可以把綠框中這些看起來像亂碼的訊息複製起來,並利用一些線上base64 image converter等資源,把亂碼複製過去後就可以把附件的圖片取出來如下圖。
圖片中依序顯示下面的文字:
App Store-App Name
Podcast Title
YouTube Video Title
Google Earth City Name
AIM Buddy Name
雖然這邊得到了這些字串,但這並不是最後要的答案,接著我們在Wireshark中依序找到上面的字串代表的內容是什麼,所以我們就用關鍵字來搜尋封包內容,就可以找到各自代表的意思。
首先是App Store-App Name的部分,先過濾出http的封包,可以找到一個封包的內容是在App Store搜尋一個叫做Solitaire的App,也就是這題答案。
Podcast Title這題,利用關鍵字Podcast去搜尋,可以找到Title就是Onion Radio News
YouTube Video Title這題,利用關鍵字youtube去搜尋,可以找到下方圖中的youtube網址,再用google確認這個影片的標題是Cry For Help-Rick Astley,是說都放Rick的歌了竟然不是Never gonna give you up
Google Earth City Name這題,利用關鍵字earth去搜尋,就可以得到Hacker Valley的答案。
最後AIM Buddy Name的部分,利用關鍵字aim去搜尋,可以找到兩個封包有類似的內容,一個是sneakyg33,另一個則是interOptic,而因為這題要的是buddy name,所以答案是interOptic。
把剛剛得到的答案依序取第一個字母,就可以得到他們會面的地點為Sochi,也就是這次的答案。
這次最後的答案雖然有點要用猜的才知道要這樣看出來,但還是可以練習到許多Wireshark的技巧,有任何問題也歡迎討論囉。