使用工具
Wireshark、7-zip console、PyCharm、PDF阅读器
解题思路
打开pcap包,是截获一个邮件读取的全过程。筛选,得到的结果进行追踪TCP流
调一调流,拖一拖拽一拽,可以看到邮件的正文,但正文内容显示不全
还可以看到有个附件,附件是用base64编码过的
把这个流的内容以原始数据形式保存下来,用记事本打开,会惊奇的发现:咦,正文内容可读了。但那些正文部分的基本都是废话,可以忽略,但有一句话要重点关注,就是附件密码
记下来,后面有用。
接下来就是处理附件了,附件的格式是个压缩包,去下载一个.7z的解压软件,先随便创建个.7z的压缩包,拖进010Editor瞧一瞧
记住它的文件头,现在开始还原附件压缩包,我用的是python脚本进行转码,既然文件是用base64编码的,那就先解码,得到一大堆字符串,仔细瞧瞧开头的这些字符串是不是很是熟悉。把这些字符串再做一次转换,转换为ASCII,一毛一样的.7z文件的开头啊。
在010Editor新建一个文件,把得到的结果粘过去,保存,后缀为.7z
打开附件,输入刚才记的密码,得到
打开这个PDF,内容还是一堆没用的东西,去找找别的地方隐藏信息,GET!
总结
首先这道题考的是邮件读取协议IMAP,要去了解一下这个协议的特点,以及和它同类的POP3协议,两个协议之间的区别,之前我也发过几个邮件协议的对比。从这个pacp包中我们还可以看到邮箱的账户和密码信息,也就是说如果一个邮件一旦被有心之人截获,你的账户信息,邮件内容就会暴露。那应该如何去减少这种问题的发生呢?我大概想了一些建议,首先要做的就是学会定期更换密码,不要一个密码走天下。其次使用一些加密技术,对发送的内容进行加密,即使被截获,在没有密钥的情况下,密文是无法转换为明文的,截获者是得不到信息的。最后就是使用安全的邮件协议,比如说SPF、DKIM和DMARC这几种。
发件人策略框架(SPF)能加强DNS服务器安全并限制谁能以你的域名发出电子邮件。SPF可防止域名欺骗,令你的邮件服务器能够确定邮件是何时从其所用域名发出的。
域名密钥识别邮件(DKIM)协议可确保邮件内容不被偷窥或篡改。
基于域的邮件身份验证、报告及一致性(DMARC)协议以一组协调一致的策略黏合了SPF和DKIM,并将发件人域名与邮件头中From:域列出的内容相关联,还具备更好的收件人反馈机制。
那除此之外,还需要掌握的知识点是,流量分析题传文件的还原技术,具体文件要具体分析,同类型的文件头是相同的,在winHex中观察一下就能看出。而一般文件信息是不会直接给出来的,要了解一些常见的编码方式,比如Base64、quoted-printable、Unicode等等,做一些转换得到一些可执行的信息。