[Network] Sans Network Forensic [Puzzle 8] #1~#9

[*] 필요 지식

https://uiyoji-journal.tistory.com/28

[네트워크 스터디] 9 무선 랜 이해하기(무선 액세스 포인트, 무선 클라이언트, 무선 랜의 규격, 채

SSID : Service Set Identifier, 무선랜 상에서 전송되는 패킷의 헤더에 존재하는 고유 식별자

 

BSSID : Basic Service Set Identifier, 무선랜 표준인 802.11에서 48bit BSS를 구분하기 위해 사용

 

 

beacon 패킷의 구조를 통해 SSID가 들어있음을 알 수 있다. 

Ment0rNet

---

00:23:69:61:00:d0

 

https://citylock.tistory.com/498

---

413.576954

---

WEP으로 암호화 된 데이터 프레임 패킷은 Data Frame 영역에 protected flag가 1로 되어 있다.

 

따라서 Data Frame 영역을 찾기 위해 [wlan.fc.type_subtype == 20]을 적용해서 Data Frame 영역을 지정하고, [wlan.fc.protected == 1]을 적용해 protected flag가 1인 패킷들을 확인하면 된다.

 

https://yum-history.tistory.com/175

[Network Forensic] Sans Network Forensic [Puzzle 8] #1, #2, #3

 

맨 오른쪽 아래 displayed : 59274

---

tshark -r evidence08.pcap -Y '(wlan.bssid==00:23:69:61:00:d0) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

• -r : pcap 파일 읽어오기
• -Y : Wireshark 디스플레이 필터 사용
• -T fields : 각 field를 사용자 정의대로 출력
• -e : 출력하고자 하는 필드 지정
• sort -u : 필드 내 값을 제거하고 유일한 값만 출력
• wc -l : 특정 파일의 행의 개수만 출력

29719

 

 

[****]

wlan.wep.iv

iv가 있는 것만 출력한다. 

wlan.fc.type_subtype==0x20 && wlan.fc.protected==1

WEP으로 암호화된 데이터 프레임만 출력한다.

 

와이어샤크에서 필터링해봤을때, 둘이 같은 것을 필터링해서 같은 결과를 출력하는 것을 확인할 수 있었다. 

 

---

aircrack-ng 이용해서 pcap decrypt하면 ARP가 엄청 나오는 걸 볼 수 있다. 

2계층 공격 중 ARP 이용한 건 ARP 스푸핑밖에 없다. 

 

패킷의 흐름을 보면 처음엔 Cisco-Li_61:60:ce와 CIMSYS_33:44:55가 서로 arp 질의를 통해 통신을 시작한다. 

그리고 다시 arp 질의가 시작된다..

AzureWav_69:cd:07의 arp 질의 패킷을 보면 Source > Address와 Sender MAC address가 다른 것을 확인할 수 있다.

+ ARP 질의를 엄~청 한다. -> 의심스러운 행적이다. 

1c:4b:d6:69:cd:07

---

AP니까 다시 원래 pcap파일로 돌아와서..

tshark를 이용해야할 것 같다.

 

이니까 

tshark -r evidence08.pcap -Y (wlan.bssid==00:23:69:61:00:d0 && wlan.sa==1c:4b:d6:69:cd:07 && wlan.wep.iv) -T fields -e wlan.wep.iv | sort -u | wc -l 

29720

---

D0:E5:9E:B9:04

---

Joe는 그가 사용하는 WAP을 운영하고 있기때문에 WAP의 관리자이다.

 

와이어샤크에서 eth.addr==00:11:22:33:44:55 로 필터를 걸면 해당 ip를 알 수 있다.

 

NetworkMiner.exe

 

admin:admin

---

hahp0wnedJ00