열공하는베짱이

Wargame/Forensics_contest

Puzzle #4: The Curious Mr. X

D4tai1 2019. 9. 25.

문제 다운로드

http://forensicscontest.com/puzzles

 

Puzzles! – Network Forensics Puzzle Contest

Here are links to the puzzles so far… Puzzle #1: Ann’s Bad AIM Puzzle #1 Answers and Winners Puzzle Contest #1 ran from 8/12/2009-9/10/2009 Puzzle #2: Ann Skips Bail Puzzle #2 Answers Puzzle #2 Winners Puzzle Contest #2 ran from 10/10/2009-11/22/2009. Puzz

forensicscontest.com

 

4번부터 하는 이유는?

▶ 4번이 가장 쉽다고 해서.. 입니다.

하하..

 

시작해 볼까요?

 

 

먼저 문제를 보겠습니다.

 

[시나리오]

While a fugitive in Mexico, 

Mr. X remotely infiltrates the Arctic Nuclear Fusion Research Facility’s (ANFRF) 

lab subnet over the Interwebs. Virtually inside the facility 

(pivoting through a compromised system), 

he conducts some noisy network reconnaissance. Sadly, Mr. X is not yet very stealthy. 
멕시코에서 탈주한 X씨는 북극 핵융합 연구 시설(ANFRF)의 실험실 서브넷 내부 웹에 원격으로 침투합니다. 사실상 시설 내부(취약한 시스템을 통해 이동)에서 그는 약간의 시끄러운 네트워크 정찰을 수행합니다. 슬프게도, X씨는 은밀하게 수행하지 못했습니다. 


Unfortunately for Mr. X, the lab’s network is instrumented to capture all traffic (with full content). 

His activities are discovered and analyzed… by you! 
X씨에게는 불행하게도 연구소의 네트워크는 모든 트래픽(전체 콘텐츠 포함)을 캡처하도록 설계되었습니다. 그의 활동들은 발견되고 당신에 의해 분석됩니다! 


Here is the packet capture containing Mr. X’s activity. As the network forensic investigator, 

your mission is to answer the following questions: 
X씨의 활동을 담은 패킷 캡처입니다. 네트워크 포렌식 수사관으로서, 당신의 임무는 다음과 같은 질문에 답하는 것입니다.


[문제]

1. What was the IP address of Mr. X’s scanner? 
1. X씨의 스캐너의 IP 주소는 무엇인가요?

 

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? 

(Note: the scan consisted of many thousands of packets.) Pick one: 
2. X씨가 수행한 첫 번째 포트 스캔의 포트 검색 유형은 무엇인가요?(스캔은 수 천 개의 패킷을 포함합니다.)

다음 중 하나를 고르세요.

▶ TCP SYN / TCP ACK / UDP / TCP Connect / TCP XMAS / TCP RST 

 

3. What were the IP addresses of the targets Mr. X discovered? 
3. X씨가 발견한 타겟의 IP 주소는 무엇인가요? 

 

4. What was the MAC address of the Apple system he found? 
4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇인가요? 

 

5. What was the IP address of the Windows system he found? 
5. 그가 찾은 Windows 시스템의 IP 주소는 무엇인가요? 

 

6. What TCP ports were open on the Windows system? 

(Please list the decimal numbers from lowest to highest.) 
6. Windows 시스템의 열려있는 TCP 포트들은 무엇인가요? (낮은 포트 번호부터 10진수로 표기) 

 

X-TRA CREDIT (You don’t have to answer this, but you get super bonus points if you do): 

What was the name of the tool Mr. X used to port scan? How can you tell? 

Can you reconstruct the output from the tool, roughly the way Mr. X would have seen it? 
보너스 문제. X씨가 포트 스캔에 사용한 도구의 이름은 무엇인가요? 어떻게 알 수 있습니까? 

도구에서 나온 출력물을 대략 X씨가 본 것처럼 재구성할 수 있습니까? 

 

 

[풀이]

[그림1] open 후 화면

①을 선택한 후

②의 Transmission Control Protocol 부분을 누르고

③의 Flags를 누르고 

④를 보면 Syn Flags만 활성화 되어 있는 것을 확인할 수 있습니다.

 

요약해보면

10.42.42.253에서

10.42.42.50, 10.42.42.56, 10.42.42.25로

Syn Flags가 포함된 패킷을 보내 포트스캔을 하고 있지요.

 

아마 Syn Flags에만 1이 표시되어 있으므로 

TCP Syn scan이나 TCP Connect scan이 되겠네요.

 

 

 

1. What was the IP address of Mr. X’s scanner? 
1. X씨의 스캐너의 IP 주소는 무엇인가요?

정답

더보기

10.42.42.253

 

포트 스캔을 했다면

어떤 스캔기법을 사용했는지 확인해볼까요?

[그림2] 응답 온 패킷 확인

ip.dst==10.42.42.253&&tcp.flags.syn==1&&tcp.flags.ack==1

 

10.42.42.253에

열려있다고 응답을 보내주는 것을 

찾고있지요.

 

 오오 10.42.42.50에서

135번 포트와 139번 포트에서

열렸다는 소식이 왔네요.

 

6. What TCP ports were open on the Windows system? 

(Please list the decimal numbers from lowest to highest.) 
6. Windows 시스템의 열려있는 TCP 포트들은 무엇인가요? (낮은 포트 번호부터 10진수로 표기) 

 

정답

더보기

135, 139

 

 

 이제 어떤 스캔을 했는지 확인해 봅시다.

[그림3] TCP Stream 확인

TCP Stream으로 확인해 봅시다.

 

[그림1]에서 확인한 것과 같이

TCP syn flags이라는 것을 확인했쥬?

 

[그림4] TCP Connect

 확인해보니

779번 패킷에서 syn을 보냈고

786번 패킷에서 syn+ack을 보냈고

791번 패킷에서 ack을 보내서

TCP Session이 정상적으로 연결되었습니다.

이후 끊었습니다.

 

이는 TCP Connect를 말하고,

이 경우 연결이 되었다가 끊어졌기 때문에

로그가 당연히 남겠죠?

 

포트스캔 방법은 이전에 정리한 내용을 참고하세요.

https://ccurity.tistory.com/180

 

Nmap 포트스캔

1. Nmap ▶ Network Map(네트워크 지도)의 약자이다. ▶ 네트워크에 연결되어있는 호스트OS의 종류를 알 수 있다. ▶ 서버의 열린포트를 확인할 수 있다. ▶ 서비스하는 프로그램의 버전을 확인할 수 있다. 1) 환..

ccurity.tistory.com

 

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? 

(Note: the scan consisted of many thousands of packets.) Pick one: 
2. X씨가 수행한 첫 번째 포트 스캔의 포트 검색 유형은 무엇인가요?(스캔은 수 천 개의 패킷을 포함합니다.)

다음 중 하나를 고르세요.

▶ TCP SYN / TCP ACK / UDP / TCP Connect / TCP XMAS / TCP RST

 

정답

더보기

TCP Connect

 

 

[그림5] Statistics - IPv4 Statistics - All Addresses

 

모든 주소들에 대한 IPv4통계를 확인해 보면

 

[그림6] 모든 주소 확인

 

총 3개 주소가 되겠네요.

 

3. What were the IP addresses of the targets Mr. X discovered? 
3. X씨가 발견한 타겟의 IP 주소는 무엇인가요? 

 

정답

더보기

10.42.42.56

10.42.42.50

10.42.42.25

 

 

[그림7] Packet details - String search

먼저 [Ctrl+F]를 누른 후

String 오른쪽에 apple를 적고

Packet details를 선택한 후 

Find로 검색합니다.

 

그 때 선택된 패킷의

도착지 MAC 주소를 보면

알 수 있습니다.

 

4. What was the MAC address of the Apple system he found? 
4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇인가요?

 

정답

더보기

00:16:cb:92:6e:dc

 

 

[그림] Windows 운영체제 찾기

예전에 해커스쿨 어딘가에서

ttl이 64면 Linux, 128이면 Windows라는

내용이 있었죠?

 

ttl=128을 가진 IP는?

 

5. What was the IP address of the Windows system he found? 
5. 그가 찾은 Windows 시스템의 IP 주소는 무엇인가요? 

 

정답

더보기

10.42.42.50

 

 

저작자표시 비영리 변경금지

댓글

티스토리툴바