Práctica Análisis Forense - Tráfico de Red

Enlace de descarga:

  • Descargar archivo packetmaze.pcapng

  • https://cyberdefenders.org/blueteam-ctf-challenges/packetmaze/

Análisis previo: - Protocolo mas usado

192.168.1.26 -> 2 imágenes
192.168.1.20 -> 1 comprimido

192.168.1.26 -> 192.168.1.20 (Servidor FTP)

SERVIDOR FTP user: kali pass: AfricaCTF2021

Comando STOR (FTP) - Subir archivo

Comando MDTM (FTP) Saber Fecha y hora de modificación del archivo 2021-04-29-16:42:47

SRC:

  • 192.168.1.26

  • c8:09:a8:57:47:93

DST:

  • 192.168.1.20

  • 08:00:27:a6:1f:86

Preguntas:

Q1: ¿Cuál es la contraseña FTP? user: kali password: AfricaCTF2021

Q2:¿Cuál es la dirección IPv6 del servidor DNS utilizado por 192.168.1.26?

eth.src == c8:09:a8:57:47:93 && ipv6 && dnss

fe80::c80b:adff:feaa:1db7

Q3:¿Qué dominio está buscando el usuario en el paquete 15174? www.7-zip.org

Q4:¿Cuántos paquetes UDP se enviaron desde 192.168.1.26 a 24.39.217.246? 10

Q5:¿Cuál es la dirección MAC del sistema que se está monitoreando c8:09:a8:57:47:93

Q6: ¿Cuál era el nombre del modelo de cámara utilizado para tomar la fotografía 20210429_152157.jpg? LM-Q725K

Q7: ¿Cuál es la clave pública del certificado de servidor que se utilizó en la sesión TLS: da:4a:00:00:34:2e:4b:73:45:9d:73:60:b4:be:a9:71:cc:30:3a:c1:8d:29:b9:90:67:e4:6d:16:cc:07:f4:ff ? tls.handshake.session_id == da:4a:00:00:34:2e:4b:73:45:9d:73:60:b4:be:a9:71:cc:30:3a:c1:8d:29:b9:90:67:e4:6d:16:cc:07:f4:ff

04edcc123af7b13e90ce101a31c2f996f471a7c8f48a1b81d765085f548059a550f3f4f62ca1f0e8f74d727053074a37bceb2cbdc7ce2a8994dcd76dd6834eefc5438c3b6da929321f3a1366bd14c877cc83e5d0731b7f80a6b80916efd4a23a4d

Q8:¿Cuál es el primer cliente TLS 1.3 "RANDOM" que se utilizó para establecer una conexión con protonmail.com? 24e92513b97a0348f733d16996929a79be21b0b1400cd7e2862a732ce7775b70

Q9:¿En qué país está registrada la dirección MAC del servidor FTP? 192.168.1.20 08:00:27:a6:1f:86 https://dnschecker.org/mac-lookup.php?query=08%3A00%3A27%3Aa6%3A1f%3A86 US - United States

Q10: ¿A qué hora se creó una carpeta no estándar en el servidor FTP el 20 de abril? (hh:mm) 17:53

Q11:¿A qué dominio estaba conectado el usuario en el paquete 27300? 172.67.162.206 dfir.science

PreviousTutorialesNextReview eCPPTv3

Last updated