Difference between revisions of "U23 2006/Hinweise Team Blue"
(→Welche Ports haben diese Hosts offen?) |
(→Welche Dienste werden regelmäßig und in welchem Abstand gepollt?) |
||
Line 41: | Line 41: | ||
=== Welche Dienste werden regelmäßig und in welchem Abstand gepollt? === | === Welche Dienste werden regelmäßig und in welchem Abstand gepollt? === | ||
− | * HTTP | + | * HTTP 61.299421 s |
− | * FTP | + | * FTP 67.487993 s |
− | * TELNET | + | * TELNET 78.694068 s |
− | * POP3 | + | * POP3 56.399380 s |
− | * NFS | + | * NFS 60.218867 s |
+ | |||
(Abstand: 1 min. ?) | (Abstand: 1 min. ?) | ||
Revision as of 11:18, 21 August 2006
Contents
Lösungshinweise des Hands-on vom Team Blue
Hier findet ihr Lösungshinweise zu den gestellten Aufgaben der Hands-on-Session.
1. Termin, 19.August
Zu beantwortende Fragen I
Allgemein
Zur Lösung der gestellten Aufgaben, war es nötig, den Datenverkehr des Netzwerkes zu sniffen. Es gibt eine Vielzahl von Programmen, die dies ermöglichen, jedoch wurden hauptsächlich Wireshark (ehemals Ethereal) und dsniff eingesetzt.
Tipps zur Benutzung von Wireshark: Damit man nicht jedes einzelne empfangene Paket nach relevanten Daten durchsuchen muss, gibt es die Möglichkeit, sich über die Funktion "Follow TCP Stream" (über das Kontextmenü erreichbar) die Daten des gesamten Streams auf einmal anzeigen zu lassen. Über FTP versendete Daten, werden als TCP DATA angezeigt.
Welche Hosts sind in dem Netzwerk aktiv?
- 10.0.1.1
- 10.0.1.7
Welche Ports haben diese Hosts offen?
Der Server auf 10.0.1.1 hat folgende Dienste offen:
- 7/tcp open echo
- 9/tcp open discard?
- 13/tcp open daytime
- 19/tcp open chargen
- 21/tcp open ftp PureFTPd
- 22/tcp open ssh OpenSSH 3.8.1p1 Debian-8.sarge.4 (protocol 2.0)
- 23/tcp open telnet Linux telnetd
- 37/tcp open time (32 bits)
- 79/tcp open finger Linux fingerd
- 80/tcp open http Apache httpd 2.0.54 ((Debian GNU/Linux))
- 110/tcp open pop3 Teapop pop3d 0.3.7
- 111/tcp open rpcbind 2 (rpc #100000)
- 113/tcp open ident OpenBSD identd
- 890/tcp open status 1 (rpc #100024)
- 893/tcp open mountd 1-2 (rpc #100005)
- 2049/tcp open nfs 2 (rpc #100003)
Welche Dienste werden regelmäßig und in welchem Abstand gepollt?
- HTTP 61.299421 s
- FTP 67.487993 s
- TELNET 78.694068 s
- POP3 56.399380 s
- NFS 60.218867 s
(Abstand: 1 min. ?)
Wie heißen die User?
Im Folgenden die Benutzernamen und in Klammern die Dienste, die von ihnen benutzt wurden:
- Basic (HTTP)
- fwarsberg (FTP)
- hboddien (TELNET)
- ewendland (POP3)
Wie lauten die Passwörter der User?
- Basic : Y3dhZW5rZXI6YXZhaTBvZVA=
- fwarsberg : oush4ael
- hboddien : thoh9uuC
- ewendland : Jaileid6
Zu beantwortende Fragen II
Lese die E-Mail vor!
Da wir ja nun den Login des POP3-Accounts kannten, war es möglich, die E-Mail vom Server herunterzuladen. Eine andere Möglichkeit bestand darin, die E-Mail direkt aus den emfangenen Paketen zu rekonstruieren, da diese ja vom Benutzer "ewendland" heruntergeladen wurde. (Für Benutzer von wireshark, war das besonders einfach durch "Follow TCP Stream")
Was wird via ftp übertragen?
Auch hier hatten wir den Login des ftp-Accounts, so war es möglich die Datei vom Server zu laden. Es gab allerdings auch die Möglichkeit die Datei aus dem gesnifften Traffic zu rekonstruieren.
In der Datei selber war die aktuelle Uhrzeit (der letzen Übertragung) gespeichert. Hier ein Beispiel:
"The time is: Sat Aug 19 19:49:26 CEST 2006"
Erläutere den Geschäftsbericht
An den Geschäftbericht zu kommen war ein wenig schwieriger, als die letzten beiden Aufgaben. Wieder gab die bereits oben genannten Möglichkeiten, sich den Geschäftsbericht zu besorgen. Die eigentliche Schwierigkeit bestand darin zu erkennen, dass es sich nicht um ein Word-Dokument handelte, wie der mime-type vermuten lies (application/msword). Durch betrachten der Verbindungsdaten, stach einem ein "Created with The GIMP" in Auge. Ab dem siebten Byte stand ein "JFIF" dort. Somit war klar, dass es sich um ein JPEG handelte. Die Erläuterung des Geschäftsberichtes war dann kein Kunstwerk mehr... ;)