题目介绍
安和X先生已经建立了他们新的经营基地,在等待引渡文件通过时,你和你的调查小组秘密监视她的活动,最近Ann得到了一台全新的AppleTV并配置了静态IP地址192.168.1.10,本次分析的文件正是捕获她最近的活动,现在你的任务是找出Ann搜索的内容,建立她的兴趣档案并恢复证据,包括:
-
安的AppleTV的MAC地址是什么?
-
Ann的AppleTV在HTTP请求中使用了什么用户代理字符串?
-
Ann在AppleTV上的前四个搜索词是什么(所有增量搜索都计算在内)?
-
安点击的第一部电影的名字是什么?
-
电影预告片的完整网址是什么(由"preview-url"定义)?
-
安点击的第二部电影的名字是什么?
-
购买它的价格是多少(由"价格显示"定义)?
-
Ann搜索的最后一个完整术语是什么?
报文分析
分析流程:
Step 1:使用WireShark打开数据报文
Step 2:查看第一个数据包文件我们从数据链路层以太网帧头部信息中可以得到第一个问题的答案
-
安的AppleTV的MAC地址是什么?——00:25:00:fe:07:c4
Step 2:从数据报文中可以看到这里首先进行了一次DNS查询,之后与目标地址a1108.da1.akamai.net通过TCP三次握手建立了连接,通过查阅下面的HTTP请求数据报文我们得到了第二个问题答案
-
Ann的AppleTV在HTTP请求中使用了什么用户代理字符串?——AppleTV/2.4
Step 3:下面我们跟踪TCP数据流,从第二个流中检索到搜索的词,得到第三个问题的答案
-
Ann在AppleTV上的前四个搜索词是什么(所有增量搜索都计算在内)?——hack
Step 4:之后过滤HTTP请求并从中进行筛选数据报文,从中可以看到viewMovie请求以及其中的id,之后我们向上回溯可以找到回显的结果并从中检索到第三个问题的答案
-
安点击的第一部电影的名字是什么? ——Hackers
Step 5:全局检索包含"preview-url"的数据报文,发现无果,之后继续回到上面的报文序列继续向下查看响应报文,得到第四个问题的答案
-
电影预告片的完整网址是什么(由"preview-url"定义)? ——http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
Step 6:继续向下查阅报文可以看到第二部电影的名字,得到第5个问题的答案
-
安点击的第二部电影的名字是什么? ——Sneakers
Step 7:从报文中获取到支付价格,得到第六个问题的答案
-
购买它的价格是多少(由"价格显示"定义)? ——$9.99
Step 8:之后将数据报文拉到最后可以获取到最后一个问题的答案
-
Ann搜索的最后一个完整术语是什么?——iknowyourewatchingme
文末小结
本篇文章主要对网络取证分析进行了一个简易的实践,其中主要涉及到数据报文的显示过滤以及数据报文类型的区分和数据报文的结果,以及对数据报文上下文之间的关联的分析
原文始发于微信公众号(七芒星实验室):WireShark网络取证分析第三集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论