WireShark网络取证分析第二集

题目介绍

在被保释后，安·德卡弗消失了！幸运的是在她逃离城镇之前，调查人员正在仔细监视她的网络活动

警察局长说："我们相信An在离开前可能和她的秘密情人X先生联系过，那个数据包捕获可能包含她下落的线索”

你是专业调查员，你的任务是找出安发了什么邮件，去了哪里并找到证据，包括:

• 安的电子邮件地址是什么？
• 安的电子邮件密码是什么？
• 安的秘密情人的电子邮件地址是什么？
• 安告诉她的秘密情人带哪两件东西？
• 安发给她的秘密情人的附件叫什么名字？
• 安发给她的秘密情人的附件是什么？
• 他们的约会地点在哪个城市和国家？
• 文档中嵌入的图像的MD5sum是多少？

报文分析

分析流程： Step 1：使用WireShark打开数据报文

Step 2：既然是使用的电子邮件进行通信的，那么我们直接过滤SMTP协议即可

Step 3：直接跟踪TCP数据流获取通讯数据信息

从下面可以看到我们第一个问题的答案：

• 安的电子邮件地址是什么？ ——sneakyg33k@aol.com

从数据包的开头我们可以看到这里有一部分认证的报文信息，其中SMTP的334响应码表示需要输入认证凭据，服务器向客户端发送了一条响应，要求客户端输入用户名和密码进行身份验证，这是SMTP中进行身份验证的一种方式，随后客户端进行了一次身份认证，这里的SMTP的235响应码表示认证成功，当客户端向SMTP服务器发送认证信息(例如:用户名和密码)时，服务器会返回235响应码表示认证成功，凭据使用base64编码，这里我们可以对其进行解码操作得到第二个问题的答案：

• 安的电子邮件密码是什么？ ——558r00lz

同时我们查看当前报文内容中并未发现什么，所以我们继续往下进行跟踪发现第二个信件接收地址

跟踪当前数据包的流信息，发现加密的通讯文本内容，由此我们确定当前报文中的接受邮件地址即为我们想要寻找的第三个问题的答案：

• 安的秘密情人的电子邮件地址是什么？ ——mistersecretx@aol.com

从数据报文中我们获得第四个问题的答案：

• 安告诉她的秘密情人带哪两件东西？ ——Bring your fake passport and a bathing suit

从数据报文中我们同时获得第五个问题的答案：

• 安发给她的秘密情人的附件叫什么名字？ ——

从上面的报文中我们可以看到报文头中已经指明当前报文使用Base64编码，所以我们将其进行解码并下载zip文件

这里网站会默认将其认为是zip文件，这是因为docx文件跟zip文件的格式是相同的，所以我们下载后只需将其重名名为docx文件即可，之后打开文件获得文件内容，即获得第五个问题的答案：

• 安发给她的秘密情人的附件是什么？ ——一个标注回合地址的word文档

从上面的文件中我们可以看到他们回合的地址信息，即第六个问题的答案：

• 他们的约会地点在哪个城市和国家？ ——Playa del Carmen, Mexico

这里的第七个问题要求我们获取嵌入word中的图片的Md5sum值信息，但是需要注意的是这里不能直接将图片进行另存为之后计算MD5值，我们需要可以另辟蹊径通过将docx文件改为zip文件，之后从zip文件中提取源文件信息，之后来计算MD5值

之后在Kali中通过MD5sum来计算文件Md5值获取到最后一个问题的答案：

• 文档中嵌入的图像的MD5sum是多少？——aadeace50997b1ba24b09ac2ef1940b7

文末小结

本篇文章主要以邮件通讯协议SMTP为基座通过对网络数据报文进行分析取证获取证据信息，从中主要涉及WireShark显示过滤器的使用、SMTP协议报文分析、通讯数据源文件还原、文件Md5计算取证等相关知识信息，总体而言算是一个非常不错的示例