Cyberdefenders WireDive Walkthrough

Escenario:

WireDive es un ejercicio combinado de análisis de tráfico que contiene varios rastros para ayudarle a comprender cómo se ven los diferentes protocolos en el cable donde puede evaluar sus habilidades DFIR frente a un artefacto que normalmente encuentra en las investigaciones de casos actuales como miembro del equipo azul de seguridad.

Preguntas:

Archivo: dhcp.pcapng

¿Qué dirección IP solicita el cliente?

La dirección IP que solicita el cliente es 192.168.2.224. La información se obtuvo con la herramienta Wireshark.

Como se observa en la imagen en los frames 186, 188, 189, 190 se está negociando la asignación de una dirección IP a través del protocolo DHCP.

El protocolo DHCP se utiliza para asignar direcciones IP a los diferentes dispositivos de cómputo dentro de una red. La asignación de IP consta de una comunicación de 4 vías como se observa en la imagen.

Cabe mencionar, que la comunicación DHCP se realiza a través del protocolo UDP. 

Archivo: dhcp.pcapng

¿Cuál es el ID de transacción para la liberación de DHCP?

El Id de transacción para la liberación de DHCP es 0x9f8fa557. La información se obtuvo con la herramienta Wireshark.

Archivo: dhcp.pcapng

¿Cuál es la dirección MAC del cliente?

La dirección MAC del Cliente es 00:0c:29:82:f5:94. La información se obtuvo con la herramienta Wireshark.

Archivo dns.pcapng

¿Cuál es la respuesta para la búsqueda de flag.fruitinc.xyz?

La respuesta es ACOOLDNSFLAG. La información se obtuvo con la herramienta Wireshark.

Archivo: dns.pcapng

¿Qué servidor raíz responde a la consulta google.com? Nombre de host.

El servidor raíz que responde a la consulta google.com es e.root-servers.net. La información se obtuvo con la herramienta Wireshark.

Archivo smb.pcapng

¿Cuál es la ruta del archivo que se abre?

La ruta del archivo es HelloWorld\TradeSecrets.txt. La información se obtuvo con la herramienta Wireshark.

Archivo smb.pcapng

¿Cuál es el código de estado hexadecimal cuando el usuario SAMBA\jtomato inicia sesión?

El código de estado hexadecimal cuando el usuario jtomato inicia sesión es 0xc000006d. La información se obtuvo con la herramienta Wireshark.

Archivo smb.pcapng

¿Cuál es el árbol que se está explorando?

El árbol que se está explorando es \\192.168.2.10\public. La información se obtuvo con la herramienta Wireshark.

Archivo smb.pcapng

¿Cuál es la bandera en el archivo?

La bandera en el archivo es OneSuperDuperSecret. La información se obtuvo con la herramienta Wireshark y utilizando la utilidad Follow TCP Stream.

Archivo shell.pcapng

¿En qué puerto está escuchando el shell?

El puerto de escucha del shell es 4444. La información se obtuvo con la herramienta Wireshark.

Como se observa en la imagen hay una conexión desde 192.168.2.5:52242 a 192.168.2.244:4444. El puerto 4444 es un puerto utilizado por Metasploit predeterminado. 

Archivo shell.pcapng

¿Cuál es el puerto para el segundo shell?

El puerto del segundo shell es 9999. La información se obtuvo con la herramienta Wireshark.

Archivo shell.pcapng

¿Qué versión de netcat está instalada?

La versión de netcat es 1.10-41.1. La información se obtuvo con la herramienta Wireshark.

Archivo shell.pcapng

Qué archivo se añade al segundo shell

El archivo que se añadió al segundo shell es /etc/passwd. La información se obtuvo con la herramienta Wireshark.

Archivo shell.pcapng

¿Qué contraseña se utiliza para elevar el shell?

La contraseña utilizada para elevar el shell es *umR@Q%4V&RC. La información se obtuvo con la herramienta Wireshark.

Archivo shell.pcapng

¿Cuál es la versión del sistema operativo de destino?

La versión del sistema operativo es bionic. La información se obtuvo con la herramienta Wireshark.

Archivo shell.pcapng

¿Cuántos usuarios hay en el sistema de destino?

El número de usuario en el sistema de destino es 31. La información se obtuvo con la herramienta Wireshark. Recordemos que hay dos shell y la que nos interesa es la shell que comunica desde 192.168.2.244:34972 a 192.168.2.5:9999.

Como se observa en la imagen en el frame número 248 se establece la comunicación, por lo tanto utilizaré la utilidad Follow TCP Stream de Wireshark.

Por último, copiamos la información y creamos un archivo llamado usuarios.txt. Luego con la utilidad cat y wc de Linux contamos los usuarios del sistema de destino.

Archivo network.pcapng

¿Cuál es la IP del servidor NTP IPv6?

La dirección NTP IPv6 es 2003:51:6012:110::dcf7:123. La información se obtuvo con la herramienta Wireshark.

Archivo network.pcapng

¿Cuál es la primera dirección IP que solicita el cliente DHCP?

La primera dirección IP que solicita el cliente DHCP es 192.168.20.11. La información se obtuvo con la herramienta Wireshark.

Archivo network.pcapng

¿Cuál es el primer servidor de nombres autoritativo devuelto para el dominio que se está consultando?

El primer servidor de nombres autoritativo es ns1.hans.hosteurope.de. La información se obtuvo con la herramienta Wireshark.

Archivo network.pcapng

¿Cuál es el número de la primera VLAN en la que se ha producido un cambio de topología?

La primera VLAN en la que se ha producido un cambio de topología es 20. La información se obtuvo con la herramienta Wireshark.

Aquí tuve que hacer una búsqueda en Internet para entender y encontrar la respuesta a esta pregunta. En esta url encontré la respuesta. https://osqa-ask.wireshark.org/questions/34918/topology-change-inside-stp/

Archivo network.pcapng

¿Cuál es el puerto para CDP para CCNP-LAB-S2

El puerto CDP para CCNP-LAB-S2 es GigabitEthernet0/2. La información se obtuvo con la herramienta Wireshark.

El protocolo CDP de red propietario de nivel 2 (capa de enlace de datos del modelo OSI), desarrollado por CISCO. Es utilizado para compartir información con otros equipos CISCO directamente conectados.

Archivo network.pcapng

¿Cuál es la dirección MAC del puente raíz de la VLAN 60?

La dirección MAC del puente raíz de la VLAN 60 es 00:21:1b:ae:31:80. La información se obtuvo con la herramienta Wireshark y utilizando el filtro vlan.id==60.

Para identificar la dirección MAC del puente raíz debemos buscar campo Spanning Tree Protocol, luego el atributo Root Identifier.

Archivo network.pcapng

¿Cuál es la versión de IOS que se ejecuta en CCNP-LAB-S2?

La versión de IOS que se está ejecutando en CCNP-LAB-S2 es 12.1(22)EA14. La información se obtuvo con la herramienta Wireshark y el filtro cdp.

 Archivo network.pcapng

¿Cuál es la dirección IP virtual utilizada para el grupo hsrp 121?

La dirección IP virtual utilizada para el grupo hsrp 121 es 192.168.121.1. La información se obtuvo con la herramienta Wireshark y el filtro hsrp.

Archivo network.pcapng

¿Cuántas solicitudes de router se enviaron?

Se enviaron 3 solicitudes de router. La información se obtuvo con la herramienta Wireshark y el filtro icmpv6.type==133. Cabe mencionar, que el type==133 es el código de solicitud de router. Para más información comparto los siguientes links.

Verificación de conextividad ICMPv6 y Internet Control Message version 6.

Archivo network.pcapng

¿Cuál es la dirección de gestión de CCNP-LAB-S2?

La dirección de gestión de CCNP-LAB-S2 es 192.168.121.20. La información se obtuvo con la herramienta Wireshark y el filtro cdp.

Archivo network.pcapng

¿Cuál es la interfaz sobre la que se informa en la primera consulta snmp?

La interfaz por la cual se informa en la primera snmp es Fa0/1. La información se obtuvo utilizando la herramienta Wireshark y el filtro snmp.

 Archivo network.pcapng

¿Cuándo se actualizó por última vez la configuración de la NVRAM?

La última vez que se actualizo por última vez la configuración de la NVRAM es 21:02:36 03/03/2017. La información se obtuvo con la herramienta Wireshark y aplicando los siguientes filtros de búsqueda "Packet bytes - Narrow & Wide - String = nvram".

El resultado de la búsqueda nos indica el frame número 3770. Ahora utilizamos la utilidad Follow UDP Stream de Wireshark.

Para más información sobre NVRAM les comparto el siguiente link, Anatomía de un router

Archivo network.pcapng

¿Cuál es la IP del servidor radius?

La dirección IP del servidor radius es 2001:DB8::1812. La información se obtuvo con la herramienta Wireshark y aplicando los siguientes filtros de búsqueda "Packet bytes - Narrow & Wide - String = radious".

El resultado de la búsqueda nos indica el frame número 3770. Ahora utilizamos la utilidad Follow UDP Stream de Wireshark.

Archivo https.pcapng

¿Qué se ha añadido a la interacción web con web01.fruitinc.xyz?

Lo que se añadió a la interacción web con web01.fruitinc.xyz fue una cabecera nombrada flag:y2*Lg4cHe@Ps. La respuesta para esta pregunta es y2*Lg4cHe@Ps.

Aquí hay que hacer algunos pasos extras para poder descifrar el tráfico https. Recordemos que en los artefactos de análisis entregados en este laboratorio hay un archivo nombrado secret_sauce.txt, este archivo contiene los secret key de las trasmisiones http sobre SSL/TLS. Si proporcionamos este archivo a Wireshark, Wireshark puede descifrar el contenido de las transmisiones http sobre SSL/TLS.

Para proporcionar este archivo debemos ir al menú Edit/preferences. Nos mostrará la siguiente ventana.

Después hacemos clic en la opción Protocols y buscamos el protocolo TLS.

Por último, en la opción (Pre) - Master-Secret log filename, hacemos clic en botón browse...,

y seleccionamos el archivo secret_sauce.txt y pulsamos en el botón OK.

Para más información comparto el siguiente link Transport Layer Security (TLS)

Archivo https.pcapng

¿Cómo se llama la foto que se ve en slack?

El nombre de la foto que se ve en slack es get_a_new_phone_today__720.jpg. La información se obtuvo con la herramienta Wireshark y la utilidad Export Objects

Archivo https.pcapng

¿Cuál es el nombre de usuario y la contraseña para acceder a 192.168.2.1? Formato: 'username:password' sin comillas.

El nombre de usuario y la contraseña es admin:Ac5R4D9iyqD5bSh. La información se obtuvo con la herramienta Wireshark y el filtro ip.addr == 192.168.2.1 and http2 contains"username"

Archivo https.pcapng

¿Cuál es el certStatus del certificado con número de serie 07752cebe5222fcf5c7d2038984c5198?

El certStatus del certificado con número de serie 07752cebe5222fcf5c7d2038984c5198 es good. La información se obtuvo con la herramienta Wireshark y aplocando los siguientes filtros de búsqueda "Packet bytes - Narrow & Wide - String = 07752cebe5222fcf5c7d2038984c5198". 

Archivo https.pcapng

¿Cuál es el correo electrónico de alguien que necesita cambiar su contraseña?

La dirección de correo electrónico es Jim.Tomato@fruitinc.xyz. La información se obtuvo con la herramienta Wireshark y aplicado el filtro "Packet bytes - Narrow & Wide - String = email"

Archivo https.pcapng

Se asigna un servicio a una interfaz. ¿Cuál es la interfaz y cuál es el servicio? Formato: nombre_interfaz:nombre_servicio

La asignación del servicio es lan:ntp. La información se obtuvo con la herramienta Brim Security y WireShark.

Lo primero que hice fue listar los servicios asociados en las interacciones de red con la herramienta Brim Security.

Como se observa en la imagen hay tres servicios en ejecución DNS, HTTP, NTP. Por lo tanto, si se asignó un servicio a una interface me imagino que este debe ser a través de una interface de usuario para este caso un servicio web.

Con Wireshark filtré por http2.

Al aplicar el filtro http2 se nos indica que hay 786 paquetes que se corresponden con los resultados del filtro. Ahora con la herramienta DynamiteLab (antes llamada Packet Total), subí el archivo https.pcapng para analizar los host.

Por último, en Wireshark aplique el siguiente filtro ip.addr==192.168.2.244 and http2 contains"interface" y en el frame número 1108 encontré algo interesante.

Aquí encontré interacciones de formulario web y además, encontré el fingerprint de pfSense.

pfSense es un firewall y enrutador, es de código abierto y se puede instalar en una variedad de ordenadores y proporciona una interfaz web para su administración.

Happy Hack!!!