문제 : forensicscontest.com/2009/12/28/anns-appletv
1.간단요약
1. ANN과 X는 새로운 작전기반을 마련
2. 범죄인 인도 서류를 기다리는 동안 수사팀과 함께 그녀의 활동을 감시 중
3. 최근에 ANN은 애플에서 IP TV를 얻었다는 첩보가 들어왔고 그녀의 IP는 192.168.1.10이다.
2. 문제
1. ANN의 TV의 MAC 주소는?
2. Apple TV의 User-Agent는?
3. Ann이 Apple TV에서 처음 찾은 4개의 단어
4. Ann이 처음으로 클릭 한 영화의 제목은?
5. movie-trailer의 Full-URL은?
6. Ann이 두번째로 클릭한 영화 제목은?
7. 두번째로 구매한 영화의 이름은
8. ANN이 마지막으로 입력한 단어의 full name은?
- ANN의 TV MAC 주소
와이어 샤크를 키고 evidence03을 open을 하면
이렇게 나오고 맨 위에 TCP를 눌러보면 다음과 같이 나온다.
Etherent쪽을 잘 보니 Src에 Apple_fe:07:c4(00:25:00:fe:07:c4)가 나온다.
Ethernet은 2계층 장비로 MAC주소와 관련이 있으므로 Src는 출발지 MAC 주소이고 Dst는 목적지 MAC주소라는 것을 알 수있다.(00:25:00 = 회사번호(Apple), fe:07:c4 = TV고유주소)
Apple TV의 MAC 주소 = 00:25:00:fe:07:c4
- Apple TV의 user-agent
저번 포스팅과 같이 맨 위에 패킷 하나 잡고 TCP stream을 follow를 하면 다음과 같이 나온다.
고맙게도 user-agent : AppleTV/2.4라고 친절하게 적어 놓았다.
이걸 보고 우리는 user-agent는 Apple TV/2.4라는 것을 알 수있다.
- ANN이 Apple TV에서 처음으로 찾은 단어 4개
이거 TCP Stream을 보고 파악을 할 수는 있지만 귀찮다.
그래서 NetworkMiner라는 프로그램을 쓰기로 했다.
그냥 NetworkMiner에 패킷 파일 집어넣고 Parameters 선택 후 parametername 선택 후 q라고 입력하면 ANN이 입력한 내용을 알 수 있다.
우리가 알아야하는 것은 처음 입력한 4개의 단어이기 때문에 h, ha, hac, hack이 정답이라는걸 알 수 있다.
- ANN이 처음 클릭한 영화 이름
이거 찾기 진짜 힘들었다.(솔직히 이렇게 푸는게 맞는지 모르겠다.)
우리는 전 문제에서 ANN이 가장 먼저 찾은 단어는 hack이라는 것을 알고 있었다.
그걸가지고 stream을 하나씩 증가시켜 stream6에 오니까
US-Hackers_Iain 그리고 조금 뒤에 viewMovie라는 문구가 보였다.
이걸보고 hackers라는 영화를 보았다는걸 유추할 수 있다.
- movie trailer의 Full-URL
이 문제는 힌트를 잘 봐야한다.
hint에 보면 defined by preview-url이라는 단어가 있다.
이단어를 괜히 준것은 아닌거 같아 preview-url이라는 단어를 찾아보기로 했다.
순서
1. 돋보기 버튼 클릭
2. Display filter를 string으로
3. Packet list를 Packet details로
4. 검색창에 preview-url(꼭 preview-url이라고 쳐야한다. preview url이라고 치면 검색 결과가 없다고 나옴)
5. find
find로 검색 후 가장 먼저 보이는 HTTP 패킷을 HTTP stream을 한 후(length = 407, tcp.stream eq 5) Find 창에 preview라고 검색을 하면
다음과 같은 preview-url을 확인할 수 있다.
- ANN이 두번째로 클릭한 영화 이름
ANN이 두번째로 클릭한 영화이름 찾는 것은 Network-miner라는 프로그램을 이용하면 쉽게 알 수 있다.
첫번째 영화를 찾을 때 처럼 parameters 선택 후 parametername 선택 후 q를 검색하면 ANN이 검색한 내용을 다 확인 할 수 있다.
ANN이 sneak이라고 검색을 했다는 것을 알 수 있다. 이제 와이어샤크로 돌아와서 TCP stream을 뒤져보면서 과연 sneak과 관련된 영화를 무엇을 봤는지 검색을 한다.
와이어 샤크 검색을 하다 tcp.stream eq 12를 살펴보니
Sneakers라는 영화를 찾아봤다는게 보인다. 이를 통해 우리는 ANN의 두번째 영화 검색 기록도 보았다.
- 앤이 구입한 영화의 가격(hint : price-display)
앤이 구입한 영화의 가격을 찾는문제다.
아까 preview-url 검색한것과 동일한 방식으로 가격을 알아보자
검색창에 price-display라고 검색을 하면 price-display와 관련된 패킷이 여러개 나온다.
가장 처음 보이는 HTTP 프로토콜의 TCP stream을 Follow 해보니
이렇게 나오는데 여기서 rent-price-display는 빌리는데 드는 비용이다. 그러므로 rent-price-display는 볼 필요가없다.
이렇게 해서 price-disply=$4.99인거라고 생각을 했으나 답을 확인해 보니 $9.99였다.
그래서 혹시 다른 곳에 $9.99가 있는지 확인을 해보기 위해 패킷을 좀 더 뒤져보았다.
계속 찾다고 tcp.stream eq 13에서
Sneakers에 관한 영화가 $9.99라는 정보가 있었다.
내가 영어를 못해서 문제를 이해를 못한건지, 아니면 문제가 잘 못 된 건지 모르겠지만
문제만 봤을 때 답은 $4.99(Hacker), $9.99(Sneakers)인 것 같다.
- ANN이 마지막으로 검색한 full-term은?
ANN이 검색한 기록은 Network-miner를 이용하면 쉽게 구할수 있다.
또한 ANN이 클릭한 영화가 아니라 검색한 내용을 구한 것이니 와이어 샤크를 보고 정확한 영화 명칭을 찾을 필요도 없다.
Network-miner 검색 결과
Network-miner를 사용한 결과 iknowyourewatchingme라는 단어를 검색한 것이라는 것을 알 수 있다.
이로써 3번 문제도 모두 해결 했다.
내가 푸는 방식은 야매가 섞여있어 보는 것을 추천하지는 않는다. 어디까지나 내가 풀어봤던 방식을 정리하는 용도로 블로그에 올리기 때문에 보는 것은 상관은 없지만 이걸 보고 따라하는 것은 추천하지 않는다.
'network 문제' 카테고리의 다른 글
| forensic contest#4 (0) | 2019.04.02 |
|---|---|
| forensic contest #2 (0) | 2019.03.31 |
| Forensiccontest 문제 풀이#1 (0) | 2019.03.31 |