패킷 분석 실습 ( HTP 2012)
L1
Q. ARP_Spoofing에 의해서 나의 아이디와 패스워드가 유출되다!
EQ. ID and Password of mine were leaked by ARP Spoofing!
** key is AttackerMacaddress_VictimPassword
[풀이]
문제 파일을 열면 다음과 같은 화면이 뜬다.
ARP(Address Resolution Protocol) packet이 보인다.
패킷을 잘 살펴보면 attacker의 MAC address가 보인다.
MAC address는 00:0c:29:f3:21:ad이다.
다음으로 유출된 아이디와 비밀번호를 찾아야 한다.
패킷 필터링을 하는데 다음과 같이 필터링 한다.
eth.addr == 00:0c:29:f3:21:ad를 이용하여 출발지나 목적지 MAC 주소로 검색 한다.
혹은 192.168.232.131이 여러대역 ip를 뿌리는 것을 확인할 수 있으므로 공격자의 ip address가 192.168.232.131이라는 것을 확인할 수 있다.
따라서 이때는 ip.addr == 192.168.232.131를 이용하여 출발지나 목적지 IP주소로 검색한다.
이렇게 필터링 하게되면 통신 내역이 보인다. 내가 전송한 내역을 보기위해 POST를 찾고 확인해본다.
이때 Follow TCP Stream으로 확인을 한다.
http://www.facebook.com/login.php?login_attempt=1 페이지에 POST 방식으로 요청하는 packet이다. Facebook에 “email=HI_GAL@gmail.com&pass=YONG_GAL”으로 로그인을 시도한 데이터들이 ARP Spoofing 공격에 의해서 유 출된 것이다
따라서 pass는 YONG_GAL이 된다.
L4
Q. 우탱아, 가을인데 단풍놀이 가야지~ 어디로 갈까?
EQ. Wootang, Let’s go to see the maple leaves~ it’s Autumn! where is it?
[풀이]
1번을 풀어보니 EQ에 힌트가 있는듯 하다.
where is it 이라는것이 심상치 않아 보였기 때문에 where_is_it을 검색해보았다.
where_is_it.jpg 파일을 요청한 것을 알 수 있다.
where_is_it.jpg라는 파일에 대해서 살펴보기 위해 이 파일을 추출해야 한다.
File -> Export Objects -> HTTP를 누르면 HTTP를 이용하여 주고받은 파일들을 나열한다.
우리가 추출하고자 하는 파일도 HTTP를 이용하여 주고받은 파일 안에 있다.
HTTP를 이용하여 주고 받은 그림 등의 파일들이 나열되어 있다. 그냥 모두 저장을 누르자
저장을 하면 폴더에 Where_is_it.jpg 파일이 생긴다.
Google에 검색을 해보면 Hill Station 이라고 나온다.
L5
Q 악성 다운로더
EQ Malware Downloader
Downloader이니깐 exe 실행파일이라고 유추해 보았다.
따라서 exe인 파일을 찾아보았다.
noexe.exe를 다운 받은 흔적이 있다.
내용을 확인을 해보니 An$w3r is HTP Forever@ 를 볼 수 있었다.
답은 HTP_Forever@ 인듯 하다.
