WARGAME/forensicscontest

Puzzle #3: Ann’s AppleTV

daydreamtalker 2024. 5. 5. 23:13

Problem

Ann and Mr. X have set up their new base of operations. While waiting for the extradition paperwork to go through, you and your team of investigators covertly monitor her activity. Recently, Ann got a brand new AppleTV, and configured it with the static IP address 192.168.1.10. Here is the packet capture with her latest activity.

You are the forensic investigator. Your mission is to find out what Ann searched for, build a profile of her interests, and recover evidence including:

  1. What is the MAC address of Ann’s AppleTV?
  2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
  3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
  4. What was the title of the first movie Ann clicked on?
  5. What was the full URL to the movie trailer (defined by “preview-url”)?
  6. What was the title of the second movie Ann clicked on?
  7. What was the price to buy it (defined by “price-display”)?
  8. What was the last full term Ann searched for?

앤과 앤의 연인인 X는 새로운 사업기반을 마련했다. 범죄인 인도 서류가 통과되기를 기다리는 동안, 수사팀은 비밀리에 그녀의 활동을 감시했고 최근에 앤이 새로운 애플 TV를 구입했다는 사실을 알아냈다. 정적 IP 주소 192.168.1.10으로 구성되어 있다. 이번 목표는 앤이 무엇을 찾았는지 알아내서 관심사에 대한 프로파일을 만들고 증거를 찾는 것!

1. 앤의 애플TV의 MAC 주소는?

TCP stream을 돌려 Ann의 보낸 패킷을 보면 애플 TV의 MAC 주소를 쉽게 찾을 수 있다.

00:25:00:fe:07:c4

  •  

2. HTTP request 환경에서 Ann의 Apple의 User-Agent를 찾아라.

필터링을 걸어주면 쉽게 찾을 수 있다.

앤의 애플 TV의 IP주소가 192.168.1.10 이기 때문에 이 IP 주소에 필터링을 걸어주고 뒤에 http를 붙이면 http request 환경에서 사용한 애플 TV의 User-Agent를 찾을 수 있다. → ip addr == 192.168.1.10 && http

출발지가 192.168.1.10 중 아무거나 클릭해서 보면 User-Agent를 찾을 수 있다.

AppleTV/2.4

3. 앤이 애플에서 처음으로 검색한 4개의 검색어는 무엇인가?

Follow] → [HTTP Stream] 으로 돌려보면 tcp.stream eq2부터 앤이 무언가 검색하고 있는 것을 알게된다.

url을 잘 살펴보면, GET 메서드를 사용하는 것을 보아 user가 입력한 값이 그대로 URL에 들어가는 것 같다. 맨 뒤인 HTTP 버전을 빼면 q=h 가 남는데, q는 query의 줄임말로, 즉 앤이 맨 처음으로 h를 검색했다.

Entrie conversation에서 Ann이 서버에 요청을 보낸 것만 볼 수 있도록 192.168.1.10 → 8.18.65.32:80로 필터를 설정하고 보면 Ann이 검색한 글자를 볼 수 있다.

두 번째는 ha, 세 번째는 hac 네 번째는 hack을 입력한 것을 확인했다.

4. 앤이 처음 클릭한 영화의 제목은?

[follow] → [HTTP stream] tcp.stream eq5에서 영화 제목을 확인할 수 있다

5. 영화 예고편의 전체 URL은 무엇인가?

문제를 보면 preview-url이라고 적혀있는데 이것을 사용해서 풀면 더 쉽게 풀리는 것 같다. 4번 문제를 풀었던 tcp stream eq 5에서 검색기능을 활용해 준다.

[Label] → String (privew-url이라는 문자열을 입력할 것이니 데이터 타입을 문자열로)

[Comment] → preview-url

 

이렇게 검색하면 특정 라인이 깜빡인다. 그 줄을 자세히 보면 protocol이 HTTP로 되어있으니 그 라인을 선택하고 HTTP Stream를 들어간다.

[Find] → preview 검색! 후 preview-url이 뜨는데 그 뒤에 영화편의 전체 url을 확인할 수 있다. **http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v**

6. 앤이 클릭한 두 번째 영화의 제목은 무엇이었는가?

HTTP Stream & TCP stream을 열심히 돌린 결과, TCP stream 13에서 찾을 수 있었다!

영화 제목은 Sneakers

7. 두 번째 영화의 가격은?

“price-display” 로 정의되어 있다고 하니 [Find] → price-dispaly로 검색한다.

$9.99 인 것을 확인했다.

8. 앤이 마지막으로 검색한 용어는?

마지막으로 검색한 용어를 찾아야 해서 맨 마지막 stream 19을 봤더니 iknowyourewa라는 단어를 검색한 것 같았다. 확실하게 하기 위해서 stream 18로 내려왔더니 q=iknowyourewa를 통해 앤이 쿼리문을 통해 확실하게 iknowyourewa를 검색한 것을 알 수 있다.

저작자표시 비영리 변경금지 (새창열림)