Lab 4- Kỹ thuật phân tích gói tin Lab FTP-authentication Khôi phục lại password sử dụng đăng nhập vào ftp server Lab Telnet-authentication Tìm mật sử dụng trình sử dụng Telnet Lab Ethernet-Patched transmission Đề cho nội dung gói tin: gói tin đến gói tin Sinh viên cần phải điền nội dung byte thiếu vào dấu ?? (Gợi ý: số dấu hiệu nhận biết 0x45- IPv4, 0x06-TCP, 0x02- ???, sv tự tìm hiểu dựa phân tích kết nối tcp file pcap có sẵn – vd webpage.pcap lab1) Lab Twitter authentication Đề cho file pcap yêu cầu khôi phục lại mật sử dụng Sử dụng Follow TCP Stream thấy phần xác thực sử dụng HTTP Basic Authentication - kỹ thuật xác thực nhằm bảo mật cho ứng dụng web giao thức http, yêu cầu người dùng cung cấp tên truy vập mật sử dụng ứng dụng Ví dụ: Quay trờ lại Follow TCP Stream, thơng tin xác thực gửi lên server dXNlcnRlc3Q6cGFzc3dvcmQ= Dễ dàng nhận thơng tin mã bóa theo chuẩn base64 (thường có dấu = cuối) Sử dụng https://www.base64decode.org/ để tiến hành giải mã thông điệp ta thu mật cần tìm Lab IP Time-To-Live Xác định giá trị TTL (Time-To-Live) sử dụng để gói tin gửi đến host Lab Extract-me Đề cho file pcap gồm nhiều protocol khác (TCP, FTP, TLS….) sử dụng Đối với nhiều gói tin nên nghĩ đến việc sử dụng phân tích luồng để có nhìn tổng quan nội dung gói tin pcap bắt Chọn Analyze > Follow > TCP Stream Hộp hội thoại Follow TCP Stream Những liệu màu xanh gửi từ server, màu đỏ gửi lên từ client Dựa vào hội thoại (tcp.stream 0) ta thấy luồng kết nối tới ftp server với tên đăng nhập ftpuser mật đăng nhập 123456 Xem xét qua stream khác lượt khơng thấy có đặc biệt stream 36 Tại ta thấy có q trình truyền file từ client lên server File có tên Wh1t3H4T.zip Tiếp tục phân tích Stream 37, thấy Header PK…Đây header nhiều định dạng khác ZIP, JAR, DOC, PPTX (http://www.garykessler.net/library/file_sigs.html) Tuy nhiên nhận định có file Wh1t3H4T.zip truyền nên tiến hành trích xuất Stream 37 lưu lại với tên Wh1t3H4T.zip Bên file Wh1t3H4T.zip có chứa file flag.png Chọn Show and save data as “RAW” sau click vào Save as… để lưu lại file với tên Wh1t3H4T.zip Thử tiến hành giải nén file zip vừa thu thấy thơng báo địi mật để giải nén Vậy ta phải tìm pass giải nén cho file zip Tiếp tục tra stream khơng thấy đặc biệt stream 41, stream có sử dụng kết nối SSL để mã hóa liệu Thực trích xuất chứng thư số gửi client server Click vào Certificate chọn Export Packet Byte để trích xuất Certificate trao đổi client server và lưu thành file có dạng public.der (Chuẩn X.509) Sử dụng cơng cụ OpenSSL Linux để xem thông tin chứa bên chứng thư số mà ta thu Mã hóa RSA với public key 696 bit Do tập mẫu nên chiều dài khóa có 696 bit Trên thực tế để đảm bảo bảo mât, hệ thống thường dùng RSA 2048 bit Module sử dụng có giá trị hình (BEF86C237C6AA1807256ED1A78E1F451BC49C5E80495FC2D06BB9A7764E ED272A8CCBC490EEEF6D333243CEB87B907AA1C99D05479DF6F56AC779 26BC7C1BADE54845378C4DB13B8C098C42F3BCC4EB6A9CCE7C1559C1B) Copy giá trị module sử dụng python để đổi module từ số 16 sang số 10.Sau khởi động python câu lệnh “python” ta gõ 0x sau paste giá trị module cần chuyển đổi Ta thu giá trị: 24524664490027821197651766357308801846702678767833275974341445 171506160083003858721695220839933207154910362682719167986407977672 324300560059203563124656121846581790410013185929961993381701214933 5034875870551067 Phân tích module thừa số nguyên tố cách sử dụng chương trình phân tích số ngun tố Ở sử dụng trang web https://factordb.com để tiến hành phân tích (SV cần đọc lại lý thuyết RSA, RSA bị an toàn nào…giao viên hỏi phần này) Như hình thấy phân tích số ngun tố có chiều dài 210 bit thành tích số p q có chiều dài 105 bit Sau thu số p q, sử dụng công cụ rsatool (https://github.com/ius/rsatool) để tính khóa mật sử dụng Để sử dụng rsatool, trước tiên phải cài đặt thêm module gmpy Sử dụng rsatool để tính khóa bí mật dựa số p, q biết lưu lại thành file private.key Kết thông báo: Tiến hành giải mã SSL với private.key vừa tính Vào Edit > Preferences > Protocol > SSL Lưu ý địa IP sử dụng 192.168.146.1 192.168.146.137 Trong phần RSA key list chọn Edit > + điền giá trị tương ứng Ví dụ hàng giải mã gói tin đến từ địa 192.168.146.1 cổng 443 thành http với khóa bí mật thu So sánh nội dung luồng liệu trước sau giải mã Trước: Sau: Sau giải mã gói tin ta đọc nội dung dạng rõ Gói tin 2293 có chứa tập tin pass.txt Thực trích xuất tập tin cách chọn File > Export Objects > HTTP sau chọn file pass.txt cần trích xuất save lại Đọc nội dung file pass.txt, thu “Do_you_look_for_me” Tiến hành giải nén file Wh1t3H4T.zip với mật “Do_you_look_for_me” thu cờ cần tìm  ... thu giá trị: 245 246 644 90027821197651766357308801 846 7026787678332759 743 4 144 5 1715061600830038587216952208399332071 549 1036268271916798 640 7977672 3 243 005600592035631 246 56121 846 58179 041 00131859299619933817012 149 33... hình (BEF86C237C6AA1807256ED1A78E1F451BC49C5E8 049 5FC2D06BB9A7764E ED272A8CCBC490EEEF6D333 243 CEB87B907AA1C99D0 547 9DF6F56AC779 26BC7C1BADE 548 45378C4DB13B8C098C42F3BCC4EB6A9CCE7C1559C1B) Copy giá trị... 3 243 005600592035631 246 56121 846 58179 041 00131859299619933817012 149 33 50 348 75870551067 Phân tích module thừa số nguyên tố cách sử dụng chương trình phân tích số nguyên tố Ở sử dụng trang web https://factordb.com để tiến hành phân tích (SV cần