U23 2006/Hinweise Team Blue

From C4 Wiki
< U23 2006
Revision as of 11:15, 21 August 2006 by Handir (talk | contribs) (Welche Hosts sind in dem Netzwerk aktiv?)
Jump to: navigation, search

Lösungshinweise des Hands-on vom Team Blue

Hier findet ihr Lösungshinweise zu den gestellten Aufgaben der Hands-on-Session.

1. Termin, 19.August

Zu beantwortende Fragen I

Allgemein

Zur Lösung der gestellten Aufgaben, war es nötig, den Datenverkehr des Netzwerkes zu sniffen. Es gibt eine Vielzahl von Programmen, die dies ermöglichen, jedoch wurden hauptsächlich Wireshark (ehemals Ethereal) und dsniff eingesetzt.

Tipps zur Benutzung von Wireshark: Damit man nicht jedes einzelne empfangene Paket nach relevanten Daten durchsuchen muss, gibt es die Möglichkeit, sich über die Funktion "Follow TCP Stream" (über das Kontextmenü erreichbar) die Daten des gesamten Streams auf einmal anzeigen zu lassen. Über FTP versendete Daten, werden als TCP DATA angezeigt.

Welche Hosts sind in dem Netzwerk aktiv?

10.0.1.1 10.0.1.7

Welche Ports haben diese Hosts offen?

Welche Dienste werden regelmäßig und in welchem Abstand gepollt?

  • HTTP
  • FTP
  • TELNET
  • POP3
  • NFS

(Abstand: 1 min. ?)

Wie heißen die User?

Im Folgenden die Benutzernamen und in Klammern die Dienste, die von ihnen benutzt wurden:

  • Basic (HTTP)
  • fwarsberg (FTP)
  • hboddien (TELNET)
  • ewendland (POP3)

Wie lauten die Passwörter der User?

  • Basic : Y3dhZW5rZXI6YXZhaTBvZVA=
  • fwarsberg : oush4ael
  • hboddien : thoh9uuC
  • ewendland : Jaileid6


Zu beantwortende Fragen II

Lese die E-Mail vor!

Da wir ja nun den Login des POP3-Accounts kannten, war es möglich, die E-Mail vom Server herunterzuladen. Eine andere Möglichkeit bestand darin, die E-Mail direkt aus den emfangenen Paketen zu rekonstruieren, da diese ja vom Benutzer "ewendland" heruntergeladen wurde. (Für Benutzer von wireshark, war das besonders einfach durch "Follow TCP Stream")

Was wird via ftp übertragen?

Auch hier hatten wir den Login des ftp-Accounts, so war es möglich die Datei vom Server zu laden. Es gab allerdings auch die Möglichkeit die Datei aus dem gesnifften Traffic zu rekonstruieren.

In der Datei selber war die aktuelle Uhrzeit (der letzen Übertragung) gespeichert. Hier ein Beispiel:

"The time is: Sat Aug 19 19:49:26 CEST 2006"

Erläutere den Geschäftsbericht

An den Geschäftbericht zu kommen war ein wenig schwieriger, als die letzten beiden Aufgaben. Wieder gab die bereits oben genannten Möglichkeiten, sich den Geschäftsbericht zu besorgen. Die eigentliche Schwierigkeit bestand darin zu erkennen, dass es sich nicht um ein Word-Dokument handelte, wie der mime-type vermuten lies (application/msword). Durch betrachten der Verbindungsdaten, stach einem ein "Created with The GIMP" in Auge. Ab dem siebten Byte stand ein "JFIF" dort. Somit war klar, dass es sich um ein JPEG handelte. Die Erläuterung des Geschäftsberichtes war dann kein Kunstwerk mehr... ;)