WireShark网络取证实录(2)

网友投稿 714 2022-05-29

经过“大富贵”公司安全主管王大力的不屑努力,终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久,律师就把她保释了出去。可谁成想,翠花居然跑路了。这下可咋整呢?不过好在人家警察也不是吃素的,之前翠花家里的网络一直都在监控中。(话说,有空监控网络,为啥人能跑了呢)。根据监控的情况来看,翠花之前没少和一个叫二狗(原文中是翠花的“ secret lover x ”,代号X)的人联系。

警察局长十分重视这个案子,把装有捕获到数据包文件的U盘摆在你的面前,“元芳,你怎么看?”

好了,现在你的任务是要找出翠花都发了什么邮件,并从中找出她去了哪里,打算干什么,并且给出以下问题的答案:

翠花的电子邮箱地址是什么?

翠花的电子邮箱密码是什么?

跟翠花接头的二狗(代号“ secret lover x”)的电子邮箱地址是什么?

翠花嘱咐二狗要带上哪两样东西?

翠花发给二狗邮件的附件名字是什么?

翠花发给二狗邮件的附件的MD5是什么?

翠花跟二狗约定好要在哪个国家的哪个城市会合?

文档中嵌入图像的MD5值是什么?

下面这个地址给出了装有捕获到数据包的文件,你可以对此进行分析来回答以上问题。

http://forensicscontest.com/contest02/evidence02.pcap

打开这个文件,可以看到里面包含了各种类型的数据包,向下拖动滚动条,很快就可以看到SMTP类型的数据包。

曾经这个协议在互联网也是独领风骚数十年的,在即时通信工具出现之前,这个协议几乎包揽了网络中的全部通信。SMTP是“Simple Mail Transfer Protocol”的缩写,意义为简单邮件传输协议 。

既然找到了SMTP类型的数据包,那么我们就可以顺藤摸瓜,来看看能找到点什么。

首先找到其中的一个SMTP类型的数据包,例如第56个数据包,然后单击鼠标右键,依次选择“Follow”--“TCP Stream”:

这样就可以看到整个邮件的内容的了:

仔细查看,很快可以找到MAIL FROM:

得,没跑了,翠花用的就是这个邮箱!

接下来,我们来看第二个问题,翠花邮箱的密码是什么?

分析密码一直是网络取证中比较有意思的部分,翠花肯定是先登录邮箱,然后才发送的邮件。

我们从上向下来检查,很快可以发现一个“235 AUTHENTICATION SUCCESSFUL”,显然它的含义是“235认证登陆成功“,

那么它上面的”AUTH LOGIN”部分十分有可能就是登陆过程,也就是登陆的用户名和密码。

这里特别提一下的是红颜色的字体表示是由翠花发给服务器的,而蓝颜色字体表示是由服务器返回给翠花的。

那么这个334 VXNlcm5hbWU6表示的是什么含义呢?

到这里肯定有一些读者不知道下一步该怎么做了,没关系,不明白的就百度呗。你不说,谁知道你百度过了。不过百度也要有基础的,例如这里面我们该搜索什么呢,“VXNlcm5hbWU6”不是什么东西编码了,就是加密了。咱们就先用“smtp”+“用户名和密码”+“编码”作为关键词试试。下面给出的是搜索的结果。

有戏了吧,其实上一条记录也提到了Base64编码,其实Base64是网络上最常见的用于传输8Bit字节码的编码方式之一。

那么既然是编码,就简单了,要是加密了就难办多了。咱们接着找个在线的Base64解码。

解码了之后的“VXNlcm5hbWU6”为“username”, “UGFzc3dvcmQ6”为“password”,“c25lYWt5ZzMza0Bhb2wuY29t”为“sneakyg33k@aol.com”,这看起来就是一个邮箱地址,和之前的结果是一样的,最后“NTU4cjAwbHo=”解码之后为“558r00lz”,不用说,这个一定是密码了。

接下来,我们来看看跟翠花接头的二狗的电子邮箱地址是什么?

这个问题看起来好像很简单,因为在咱们通过第56个数据包还原的TCP流中已经看到了一项“RCPT TO::”,哈哈,估计有人一拍脑袋,“这就是二狗的邮箱地址了,没跑了”。

搞侦破的这样办事可不中,我们绝不能放过一个坏人,但也不可冤枉一个好人。这里我们如果就此结案的话,就会犯了一个十分致命的错误。

翠花她不一定是就写了一封邮件啊,说不定她在给二狗写信之前,突然觉得自己饿了,就先发邮件定了一份烧烤啊,咱们这么一来就把烧烤店可误会了,看来还得继续。当然,就看sec558这个名也不是什么普通人。咱们接着往下看,有了上面的基础,咱们直接上过滤器“SMTP”,然后再回头来看。

咋样,看到了吧,这里面RCPT TO的出现了两次,也就是说翠花一共发了两封邮件,一份是给sec558@gmail.com的,另一份是发给mistersecretx@aol.com的。瞪大眼睛看,二狗这货居然真的给自己起名为神秘情人x(mistersecretx),咋想的,他咋不上天呢!看来没跑了,就是他了!二狗的邮箱就是mistersecretx@aol.com。

第4个问题是,翠花嘱咐二狗要带上哪两样东西?这得查看邮件里面的内容了,咱们还是按照刚才的方法,在第二封邮件产生的数据包上点击,然后导出成TCP流,仔细查看,就可以找到以下的一句话:

大意就是“亲啊,带上你的假护照和泳衣,到附件中的地点来!”,这个二狗是大阪城的姑娘吧,咋不赶着马车来呢?

第5个问题是,翠花发给二狗邮件的附件名字是什么?

这个好说,很容易就可以在TCP流窗口中找到:

很容易发现附件的名字就是“secretrendezvous.docx”。其实也可以直接用attachment作为关键字来搜索。

6.翠花发给二狗邮件的附件的MD5是什么?

7. 翠花跟二狗约定好要在哪个国家的哪个城市会合?

8.文档中嵌入图像的MD5值是什么?

剩下的几个问题都与附件有关,看来我们得先把邮件中的附件弄出来了。通过第5题,我们已经知道了这个文件的名字为secretrendezvous.docx。

下面这些乱七八糟的字符就是附件的内容了。

考虑到这个附件一定是已经通过某种编码形式才转换成这些字符的,只要我们知道了这种编码的格式,然后对其进行解码就可以了。有基础的读者可能直接联想到base64。

不过如果事先对此一无所知的话,又该如何呢?其实搜索引擎就是最好的老师,不管大牛在某一领域多么风光,换个领域他一样是个门外汉,所以总会遇到不知道的问题,无所谓,谷歌或百度就好了,大家都是这么过来的。

我们用关键词“邮件附件 编码”作为关键词,百度一下,可以看到如下的页面:

这里多谢Y_momo的文章,打开阅读之后发现里面提到了三种编码的方式,ASCII码、quoted-printable、base64编码,详细的内容这里不再赘述了,这里的附件就是采用了base64编码的。

我们可以以此来解码即可。但是这里有一个问题,跟上一个例子不一样,我们并不是要把这个base64编码的字符转换成可以可以读懂的字符,而是要将其转换成一个文件,所以不能简单的

照搬之前的做法,这里我们需要找一个可以将base64编码还原成文件的方法,这一点可以通过编程来实现。简单点的话,我们可以使用在线的转化工具,下面给出的就是一个这样的工具:

https://www.motobit.com/util/base64-decoder-encoder.asp

解码完成之后,就会弹出的一个窗口,将这个文件保存。

使用MD5值计算工具可以得到这个文档的MD5值为9E423E11DB88F01BBFF81172839E1923。

打开之后,可以看到word的内容为:

里面定好的地点就是墨西哥的Playa del Carmen。

WireShark网络取证实录(2)

最后的一个问题就是要计算图片的MD5了,这个题看似最简单,其实很容易出现问题,如果直接将图片复制另存的话,就会得到一个不同的答案,在取证过程中应该避免这种做法。

计算得到的结果为“AADEACE50997B1BA24B09AC2EF1940B7”,具体的做法是使用winrar来打开这个word文件:

其中的图片位于secretrendezvous.docx\word\media ,找到图片,将其单独解压缩出来计算MD5值。

好了,第二部分也正式结束!不过接下来故事中,二狗的戏份要多了

本文转载自异步社区

网络 通用安全 高性能计算

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:web客户端缓存机制
下一篇:为什么你就不能加个空格呢?
相关文章