Difference between revisions of "U23 2006/Hinweise Team Blue"
(→Welche Dienste werden regelmäßig und in welchem Abstand gepollt?) |
m (Subkategorie) |
||
(24 intermediate revisions by 12 users not shown) | |||
Line 21: | Line 21: | ||
=== Welche Ports haben diese Hosts offen? === | === Welche Ports haben diese Hosts offen? === | ||
− | Der Server auf 10.0.1.1 | + | Um herauszufinden welche Ports ein Host offen hat, haben wir den Portscanner ''nmap'' verwendet. |
+ | |||
+ | Der Server auf 10.0.1.1 hatte folgende Dienste offen: | ||
* 7/tcp open echo | * 7/tcp open echo | ||
Line 55: | Line 57: | ||
=== Wie lauten die Passwörter der User? === | === Wie lauten die Passwörter der User? === | ||
− | * | + | * Y3dhZW5rZXI6YXZhaTBvZVA= (Entschlüsselt dann: avai0oeP) -> Wie wurde das entschlüsselt??? -> In wireshark kann man unter diesem kryptischen Schlüssel noch ein Dropdown Feld öffnen. Da stehen dann Benutzer und Passwort im Klartext.-> Und was für eine art verschlüsselung war das? -> Da der Authentifikationsmodus "Basic" verwendet wurde, ist der String nicht verschlüsselt, sondern lediglich base64 codiert. |
* fwarsberg : oush4ael | * fwarsberg : oush4ael | ||
* hboddien : thoh9uuC | * hboddien : thoh9uuC | ||
Line 62: | Line 64: | ||
== Zu beantwortende Fragen II == | == Zu beantwortende Fragen II == | ||
− | === | + | === Lies die E-Mail vor! === |
Da wir ja nun den Login des POP3-Accounts kannten, war es möglich, die E-Mail vom Server herunterzuladen. Eine andere Möglichkeit bestand darin, die E-Mail direkt aus den emfangenen Paketen zu rekonstruieren, da diese ja vom Benutzer "ewendland" heruntergeladen wurde. (Für Benutzer von wireshark, war das besonders einfach durch "Follow TCP Stream") | Da wir ja nun den Login des POP3-Accounts kannten, war es möglich, die E-Mail vom Server herunterzuladen. Eine andere Möglichkeit bestand darin, die E-Mail direkt aus den emfangenen Paketen zu rekonstruieren, da diese ja vom Benutzer "ewendland" heruntergeladen wurde. (Für Benutzer von wireshark, war das besonders einfach durch "Follow TCP Stream") | ||
=== Was wird via ftp übertragen? === | === Was wird via ftp übertragen? === | ||
− | Auch hier hatten wir den Login des ftp-Accounts, so war es möglich die Datei vom Server zu laden. Es gab allerdings auch die Möglichkeit die Datei aus dem gesnifften Traffic zu rekonstruieren. | + | Auch hier hatten wir den Login des ftp-Accounts, so war es möglich die Datei vom Server zu laden. Es gab allerdings auch die Möglichkeit die Datei aus dem gesnifften Traffic zu rekonstruieren. -> wie und womit rekonstruieren? |
In der Datei selber war die aktuelle Uhrzeit (der letzen Übertragung) gespeichert. Hier ein Beispiel: | In der Datei selber war die aktuelle Uhrzeit (der letzen Übertragung) gespeichert. Hier ein Beispiel: | ||
Line 73: | Line 75: | ||
=== Erläutere den Geschäftsbericht === | === Erläutere den Geschäftsbericht === | ||
− | An den Geschäftbericht zu kommen war ein wenig schwieriger, als die letzten beiden Aufgaben. Wieder gab die bereits oben genannten Möglichkeiten, sich den Geschäftsbericht zu besorgen. Die eigentliche Schwierigkeit bestand darin zu erkennen, dass es sich nicht um ein Word-Dokument handelte, wie der mime-type vermuten lies (application/msword). Durch betrachten der Verbindungsdaten, stach einem ein "Created with The GIMP" | + | An den Geschäftbericht zu kommen war ein wenig schwieriger, als die letzten beiden Aufgaben. Wieder gab die bereits oben genannten Möglichkeiten, sich den Geschäftsbericht zu besorgen. Die eigentliche Schwierigkeit bestand darin zu erkennen, dass es sich nicht um ein Word-Dokument handelte, wie der mime-type vermuten lies (application/msword). Durch betrachten der Verbindungsdaten, stach einem ein "Created with The GIMP" ins Auge. Ab dem siebten Byte stand ein "JFIF" dort. Somit war klar, dass es sich um ein JPEG handelte. Die Erläuterung des Geschäftsberichtes war dann kein Kunstwerk mehr... ;) |
=== Wer muss seine Mutter anrufen === | === Wer muss seine Mutter anrufen === | ||
Line 79: | Line 81: | ||
''Plan: Passwort aendern! Mama anrufen'' | ''Plan: Passwort aendern! Mama anrufen'' | ||
+ | |||
+ | |||
+ | [[Category:U23 2006]] |
Latest revision as of 14:30, 28 May 2007
Contents
Lösungshinweise des Hands-on vom Team Blue
Hier findet ihr Lösungshinweise zu den gestellten Aufgaben der Hands-on-Session.
1. Termin, 19.August
Zu beantwortende Fragen I
Allgemein
Zur Lösung der gestellten Aufgaben, war es nötig, den Datenverkehr des Netzwerkes zu sniffen. Es gibt eine Vielzahl von Programmen, die dies ermöglichen, jedoch wurden hauptsächlich Wireshark (ehemals Ethereal) und dsniff eingesetzt.
Tipps zur Benutzung von Wireshark: Damit man nicht jedes einzelne empfangene Paket nach relevanten Daten durchsuchen muss, gibt es die Möglichkeit, sich über die Funktion "Follow TCP Stream" (über das Kontextmenü erreichbar) die Daten des gesamten Streams auf einmal anzeigen zu lassen. Über FTP versendete Daten, werden als TCP DATA angezeigt.
Welche Hosts sind in dem Netzwerk aktiv?
- 10.0.1.1
- 10.0.1.7
Welche Ports haben diese Hosts offen?
Um herauszufinden welche Ports ein Host offen hat, haben wir den Portscanner nmap verwendet.
Der Server auf 10.0.1.1 hatte folgende Dienste offen:
- 7/tcp open echo
- 9/tcp open discard?
- 13/tcp open daytime
- 19/tcp open chargen
- 21/tcp open ftp PureFTPd
- 22/tcp open ssh OpenSSH 3.8.1p1 Debian-8.sarge.4 (protocol 2.0)
- 23/tcp open telnet Linux telnetd
- 37/tcp open time (32 bits)
- 79/tcp open finger Linux fingerd
- 80/tcp open http Apache httpd 2.0.54 ((Debian GNU/Linux))
- 110/tcp open pop3 Teapop pop3d 0.3.7
- 111/tcp open rpcbind 2 (rpc #100000)
- 113/tcp open ident OpenBSD identd
- 890/tcp open status 1 (rpc #100024)
- 893/tcp open mountd 1-2 (rpc #100005)
- 2049/tcp open nfs 2 (rpc #100003)
Welche Dienste werden regelmäßig und in welchem Abstand gepollt?
- HTTP 61.299421 s
- FTP 67.487993 s
- TELNET 78.694068 s
- POP3 56.399380 s
- NFS 60.218867 s
Wie heißen die User?
Im Folgenden die Benutzernamen und in Klammern die Dienste, die von ihnen benutzt wurden:
- cwaenker (HTTP)
- fwarsberg (FTP)
- hboddien (TELNET)
- ewendland (POP3)
Wie lauten die Passwörter der User?
- Y3dhZW5rZXI6YXZhaTBvZVA= (Entschlüsselt dann: avai0oeP) -> Wie wurde das entschlüsselt??? -> In wireshark kann man unter diesem kryptischen Schlüssel noch ein Dropdown Feld öffnen. Da stehen dann Benutzer und Passwort im Klartext.-> Und was für eine art verschlüsselung war das? -> Da der Authentifikationsmodus "Basic" verwendet wurde, ist der String nicht verschlüsselt, sondern lediglich base64 codiert.
- fwarsberg : oush4ael
- hboddien : thoh9uuC
- ewendland : Jaileid6
Zu beantwortende Fragen II
Lies die E-Mail vor!
Da wir ja nun den Login des POP3-Accounts kannten, war es möglich, die E-Mail vom Server herunterzuladen. Eine andere Möglichkeit bestand darin, die E-Mail direkt aus den emfangenen Paketen zu rekonstruieren, da diese ja vom Benutzer "ewendland" heruntergeladen wurde. (Für Benutzer von wireshark, war das besonders einfach durch "Follow TCP Stream")
Was wird via ftp übertragen?
Auch hier hatten wir den Login des ftp-Accounts, so war es möglich die Datei vom Server zu laden. Es gab allerdings auch die Möglichkeit die Datei aus dem gesnifften Traffic zu rekonstruieren. -> wie und womit rekonstruieren?
In der Datei selber war die aktuelle Uhrzeit (der letzen Übertragung) gespeichert. Hier ein Beispiel:
"The time is: Sat Aug 19 19:49:26 CEST 2006"
Erläutere den Geschäftsbericht
An den Geschäftbericht zu kommen war ein wenig schwieriger, als die letzten beiden Aufgaben. Wieder gab die bereits oben genannten Möglichkeiten, sich den Geschäftsbericht zu besorgen. Die eigentliche Schwierigkeit bestand darin zu erkennen, dass es sich nicht um ein Word-Dokument handelte, wie der mime-type vermuten lies (application/msword). Durch betrachten der Verbindungsdaten, stach einem ein "Created with The GIMP" ins Auge. Ab dem siebten Byte stand ein "JFIF" dort. Somit war klar, dass es sich um ein JPEG handelte. Die Erläuterung des Geschäftsberichtes war dann kein Kunstwerk mehr... ;)
Wer muss seine Mutter anrufen
Durch ein "finger" auf den Benutzer "cwaenker" bekommt man folgende Ausgabe:
Plan: Passwort aendern! Mama anrufen