Welcome to Advent of Cyber 2021
クリスマスまでの25日間、毎日基本的な知識を学び、初心者向けの新しいセキュリティ演習を行うことで、サイバーセキュリティを始めることができます。
day9
Wiresharkを使って基本的なパケット解析を行うために必要なスキルと知識を勉強します。
パケット解析とは、コンピューターのネットワーク・インターフェイスを通過するネットワーク・トラフィックをキャプチャして傍受するための技術です。
サイバーセキュリティ担当者にとって、パケット解析のスキルを身につけることは、ネットワークのトラブルシューティングや通信プロトコルの解析を行うための重要な要件です。Wiresharkなどのネットワーク解析ツールを使用して、ネットワークパケットをリアルタイムでキャプチャし、人間が読める形式で表示します。ライブキャプチャーやオフライン解析など、多くの高度な機能を備えています。このタスクでは、HTTP、DNS、FTPなどの各種プロトコル(暗号化されていないプロトコル)を解析するために、Wiresharkを使ったパケット解析の手順を詳しく説明します。
このタスクでは、PCAPファイルを準備してダウンロードし、指示に従い、さまざまなシナリオを使用して必要なパケット分析スキルを適用します。
┌──(kali㉿kali)-[~]
└─$ ls
AoC3.pcap
Wiresharkを実行し、提供されたPCAPファイルを次のようにインポートできます。
┌──(kali㉿kali)-[~]
└─$ sudo wireshark /home/AoC3.pcap
[sudo] hoglet のパスワード:
** (wireshark:2307) 11:16:43.372538 [GUI WARNING] -- QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to '/tmp/runtime-root'
** (wireshark:2307) 11:16:43.871866 [Main MESSAGE] -- Wireshark is up and ready to go, elapsed time 0.509s
HTTPトラフィックを検索する場合は、以下の様に入力します。
loginディレクトリを発見。
POSTメソッドでフィルタリングすると、username, passwordの値を発見。
User-Agentも発見。
次にフィルターにDNSを設定して、パケットを1つ選びます。そして、右クリックして追跡→UDPストリームを選択します。
ここには、フラッグがないので、右下のストリームの値を変更してみます。
つぎにFTPに関してです。
PASS情報を取得できました。
secret.txtをSTORコマンドでアップロードしていることを確認しました。
data-text-linesを追跡→TCPストリームすると、テキストファイルのコンテンツ内容が分かりました。
Answer
In the HTTP #1 - GET requests section, which directory is found on the web server?
login
What is the username and password used in the login page in the HTTP #2 - POST section?
McSkidy:Christmas2021!
What is the User-Agent's name that has been sent in HTTP #2 - POST section?
TryHackMe-UserAgent-THM{d8ab1be969825f2c5c937aec23d55bc9}
In the DNS section, there is a TXT DNS query. What is the flag in the message of that DNS query?
THM{dd63a80bf9fdd21aabbf70af7438c257}
In the FTP section, what is the FTP login password?
TryH@ckM3!
In the FTP section, what is the FTP command used to upload thesecret.txtfile?
stor
In the FTP section, what is the content of the secret.txt file?
123^-^321