본문 바로가기
#Network Forensic/LMG puzzle contest

Network Forensic puzzles contest #4

Y0u_4re_s0_5weet 2020. 5. 10. 01:45
반응형

[Puzzle #4 : The Curious Mr.X]

 

 

http://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x

 

Puzzle #4: The Curious Mr. X – Network Forensics Puzzle Contest

While a fugitive in Mexico, Mr. X remotely infiltrates the Arctic Nuclear Fusion Research Facility’s (ANFRF) lab subnet over the Interwebs. Virtually inside the facility (pivoting through a compromised system), he conducts some noisy network reconnaissance

forensicscontest.com

 

* 시나리오

멕시코에서 도망자 인 X는 원격 웹을 통해 ANFRF (Arctic Nuclear Fusion Research Facility) 랩 서브넷에 원격으로 침투한다. 그는 사실상 시설 내부 (손상된 시스템을 통해 피봇 팅)에서 시끄러운 네트워크 정찰을 수행한다. 안타깝게도 X 씨는 아직 은밀하지 못하다.

불행히도 X 씨에게 실험실의 네트워크는 모든 트래픽 (전체 컨텐츠)을 캡처하도록 설계되어 있다. 그의 활동은 당신에 의해 발견되고 분석된다!

 

 

* 문제

1. Mr. X 스캐너의 IP 주소는 무엇입니까?

2. X 씨가 수행 한 첫 번째 포트 스캔의 경우 어떤 유형의 포트 스캔입니까? (참고 : 스캔은 수천 개의 패킷으로 구성되었습니다.) 하나를 선택하십시오.

  • TCP SYN
  • TCP ACK
  • UDP
  • TCP Connect
  • TCP XMAS
  • TCP RST

3. X 씨가 발견 한 대상의 IP 주소는 무엇입니까?

4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇입니까?

5. 그가 찾은 Windows 시스템의 IP 주소는 무엇입니까?

6. Windows 시스템에서 어떤 TCP 포트가 열려 있습니까? (가장 높은 가장 낮은에서 진수 번호를 적어주십시오)

 

 

* 증거파일 : evidence04.pcap

 

-------------------------------------------------------------------------------------------->>>

 

✔문제풀이 (사용툴 : Wireshark)

 

1. Mr. X 스캐너의 IP 주소는 무엇입니까?

[그림 1. evidence01.pcap open]

  • 주어진 파일 evidence04.pcap 열어보니 중간중간 빨간색으로 표시가 되어 있었다.
  • 첫번째 [SYN]패킷을 보내니 두번째에는 [RST,ACK] 패킷을 보낸 것을 있다.
  • Follow Tcp stream 해도 아무것도 나오지 않는다.

 

 

[그림2.  TCP 닫힌 포트]

  • 빨간색 패킷은 닫힌 포트이므로 TCP-3way handshaking 실패한 패킷이다.

 

 

[그림3. 첫번째 packet detail]

  • 첫번째 패킷을 누르고 Packet Detail 보니 Flags Syn 1 되어 있다. 보낸 IP주소가 Mr.X임을 있다.
  • Syn Flags 활성화 것을 보아 TCP SYN 또는 TCP Connect scan임을 있다.
  • 정답 : 10.42.42.253

 

 

2. X 씨가 수행 한 첫 번째 포트 스캔의 경우 어떤 유형의 포트 스캔입니까? 하나를 선택하십시오.

[그림4. 패킷 검색]

  • 도착지 ip 10.42.42.253이고, SYN, ACK Flags 활성화 되어 있는 패킷(TCP Scan 성공한 패킷) 찾는다.

 

 

[그림5. tcp stream]

  • Follow tcp stream 확인해보니 그림과 같은 화면이 나왔다.
  • 779 패킷에서 Mr.X ip 10.42.42.50에게 SYN 보내니까 786패킷에서 SYN, ACK 보냈다.
  • 그리고 Mr.X ACK 보내 연결에 성공한 10.42.42.50 RST,ACK 보내 연결을 종료하였다.

 

 

[그림6. tcp connet, tcp syn]

 

  • TCP Connect TCP SYN 차이는 그림을 보면 있다.
  • 정답 : TCP Connect(TCP Open scan)

 

 

6. Windows 시스템에서 어떤 TCP 포트가 열려 있습니까? (가장 높은 가장 낮은에서 진수 번호를 적어주십시오)

  • 2 문제에서 SYN, ACK Flags 활성화 되어 있는 패킷을 찾으면서 6번의 답을 있다.
  • IP 10.42.42.50에서 135번과 139 포트가 열린 것이 보인다.
  • 정답 : 135,139

 

 

3. X 씨가 발견 한 대상의 IP 주소는 무엇입니까?

[그림7. SYN 플래그 활성화 패킷]

 

  • Syn flags 활성화 되어 있는 것을 검색해보니 ip 3개가 반복되어 나온다.

 

 

[그림8. IPv4 Statistics]

  • 메뉴에서 statistics->IPv4 Statistics -> All Addresses에서도 확인할 있다.
  • 정답 : 10.42.42.50, 10.42.42.56, 10.42.42.25

 

 

4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇입니까?

 

[그림9. apple 문자열 검색]

 

  • Ctrl + F apple 검색한다.
  • Packet details부분에 apple Mac주소가 나와있다.
  • Dst 10.42.42.25 Apple_92,  10.42.42.50 CompalIn_51, 10.42.42.56 CompalIn_cb
  • 정답 : 00:16:cb:92:6e:dc

 

 

5. 그가 찾은 Windows 시스템의 IP 주소는 무엇입니까?

 

[그림10. IP 10.42.42.56 패킷]
[그림11. IP 10.42.42.50 패킷]

 

  • 10.42.42.25 apple 시스템의 주소라는 4번문제에서 있었고, 남은 2개의 ip주소에서 찾으면 된다.
  • 10.42.42.56 10.42.42.50 출발지와 도착지를 검색해보니 ICMP프로토콜 통신하는 있었다.
  • 운영체제에 따라 다르지만 ping명령어에 따른 ttl 값은 정해져 있다.
  • Linux 64, Windows 128, Cisco 256이다. 그러므로 Windows 시스템의 ip 있다.
  • 정답 : 10.42.42.50
반응형

'#Network Forensic > LMG puzzle contest' 카테고리의 다른 글

Network Forensic puzzles contest #3  (0) 2020.05.10
Network Forensic puzzles contest #2  (0) 2020.05.10
Network Forensic puzzles contest #1  (0) 2020.05.09

'#Network Forensic/LMG puzzle contest' Related Articles

티스토리툴바