اسعد الله اوقاتكم بكل خير ..🌿
منذ زمن لم اقم بتحديات او حل للعديد من الاختبارات ، و ليلة البارحة قمت بحل تحدي مقدم من موقع: Cyber Defenders.
حيث كان التحدي ملف: pcap، من فئة الـ (Packet Analysis) لتحليل الحزم في الشبكة.
فمن الرائع مشاركة الحل هنا معكم ، و للأمانة بسبب طول مدة عدم الممارسة واجهتني الكثير من الاخطاء رغم ان التحدي يصنف سهل جدا، لذا لا تنسى ان تمارس دائما كي لا تقع في مصيدة النسيان.
هذا المقال سيكون مقسم كالتالي:
- الأدوات المستخدمة.
- الملف و شرحه.
- حل الاسئلة.
- عند تنزيل الملف(امتداد pcap) قمت بتجربة اكثر من اداة لتحليل، اعجبتني اداة (BrimSecurity) و رغم شح مصادرها و شرحها الا ان واجهتها و استخدامها لطيف جدا.
بصفتك محلل تعمل عند احد security service provider ، تم تكليفك بتحليل التقاط حزمة لموظف العميل الذي تمت مراقبة نشاط شبكته لفترة طويلة من الداخل.
واجهة الـ wireshark:
حل الاسئلة:
١. ماهي كلمة مرور الـ FTP؟
في البداية نقوم بفلترة باستخدام بروتوكول الـ ftp و ذلك لان هذا البروتوكول يستخدم في الأجهزة لمشاركة المعلومات عبر الشبكة.
اذا سيكون الجواب: AfricaCTF2021
***
٢.ما هو عنوان IPv6 للـ DNS server المستخدم بواسطة 192.168.1.26؟
نقوم اولًا بالتحقق من الـ IPs destination باستخدام الـ DNS حتى نحاول الحصول على العنوان.
نلاحظ هنا عنوان الـ IP destination بالتحليل.
الجواب سيكون: fe80::c80b:adff:feaa:1db7
***
٣.ما هو الـ Domain الذي يبحث عنه المستخدم في الـ Packet الذي رقمه 15174؟
اسرع طريقة ، هو الذهاب الـ Go to Packet ثم وضع رقم الـ Packet المحدد.
يظهر لناالـ Domain في التحليل الخاص بالـ Packet.
الجواب سيكون: www.7-zip.org
***
٤.كم عدد الـ Packets في الـ UDP التي تم إرسالها من 192.168.1.26 إلى 24.39.217.246؟
نكتب هذا الامر للفلتر حتى نحدد عددها.
udp && ip.src == 192.168.1.26 && ip.dst == 24.39.217.246
الجواب: الظاهر لنا ان العدد الكلي هو 10.
***
٥. ما هو عنوان MAC للنظام الذي تتم مراقبته؟
عنوان IP المشتبه به هو 192.168.1.26.
نتحقق من الـ packets التي تنتمي إلى الـ IP source التالي 192.168.1.26.
نتحقق من عنوان SRC MAC الخاص بأي packet موجود.
الجواب عنوان الـ MAC هو : c8:09:a8:57:47:93
***
٦.ما هو اسم نوع الكاميرا المستخدمة في التقاط هذا الملف المسمى بـ 20210429_152157.jpg؟
نقوم باستخدام الـ FTP-Data لفلترة و السبب لان الـPacket of FTP ببساطة تحتوي على البيانات النصية التي تظهر من الجلسات السابقة و هذا يجعل من السهل قراءته في التحليل.
نقوم بحفظ الملف بصيغة الـ raw على الجهاز.
و نقوم بتحزينه بامتداد الـ jpg.
و بعدها نقوم باستخدام اداة الـ exiftool لتحليل metadata لملف الصورة.
الجواب سيكون : LM-Q725K
***
7.ما هو المفتاح العام لشهادة الـ server الذي تم استخدامه في جلسة TLS: da4a0000342e4b73459d7360b4bea971cc303ac18d29b99067e46d16cc07f4ff؟
نستخدم ذات الطريقة في السؤال الـثالث.
يظهر لنا في التحليل الـ Public Key.
الجواب سيكون :
04edcc123af7b13e90ce101a31c2f996f471a7c8f48a1b81d765085f548059a550f3f4f62ca1f0e8f74d727053074a37bceb2cbdc7ce2a8994dcd76dd6834eefc5438c3b6da929321f3a1366bd14c877cc83e5d0731b7f80a6b80916efd4a23a4d
***
٨.ما هو أول عميل TLS 1.3 عشوائي تم استخدامه لإنشاء اتصال بـ protonmail.com؟
نذهب للـ edite و بعدها find to packet و نضع بالخانة الـ protonmail.com.
يظهر لنا اثناء التحليل ٢٨ بايت random الخاصة بالـ client random.
الجواب: 24e92513b97a0348f733d16996929a79be21b0b1400cd7e2862a732ce7775b70
***
٩.ما البلد الذي تم تسجيل عنوان MAC لـ FTP server فيه؟
نتحقق من الـ Packets التي تنتمي إلى الـ IP dest التالي 192.168.1.20.
يظهر لنا عنوان الـ MAC .
نقوم بنسخه و الذهاب للموقع :
و لصقه هنا.
الجواب: United States
***
١٠.في أي وقت تم إنشاء مجلد غير قياسي على الـ FTP server في 20 أبريل؟ (hh: mm)
نفلتر باستخدام الـ ftp-data و نتبع الخطوات الظاهرة.
***
١١.ما هو الـ Domain الذي كان المستخدم متصلاً به في الـ packet رقم 27300؟
نذهب باستخدام go to Packet.
الجواب: dfir.science
***
No comments:
Post a Comment