Professional Documents
Culture Documents
Lesson09 Ex02 0rphsniffs
Lesson09 Ex02 0rphsniffs
המשטרה הצליחה להשיג גישה למחשבו האישי של 0rphanולהסניף את התעבורה העוברת דרכו,
אך עקב החיבור הבעייתי חלק מההסנפות נפגמו והפרוטוקולים לא פוענחו על ידי .Wireshark
בהסנפה מוצגת רק שכבה ( 2שכבת הקו עליה עוד לא למדנו ואפשר להתעלם ממנה) ,והData-
שלה .נסו לחשוב מהו ה Data-של שכבה זו (רמז – אנקפסולציה.)...
מצאו את החבילה בה יש נסיון כניסה לאתר אינטרנט .מה מספר החבילה ברשימה? כיצד .1
זיהיתם את החבילה הזאת?
החבילה היא חבילה מספר חמש היה מאוד קל לזהות אותה בגלל שלמדנו איך נראה בקשה
של HTTPולפי זה אנחנו יכולים לחפש בתוך ה dataבקשה שנראת דומה ל HTTPובחבילה 5
ניתן לראות בתוך ה dataמאפיינים של בקשת HTTPמה שאין בשום חבילה אחרת
? צלמו היכן מצאתםHTTP- בתוך הודעת ה0rphan האם תוכלו למצוא את פרטיו האישיים של .2
. וכתבו את הפרטים,אותם
כן ניתן למצוא את הפרטים האיישים שלו אני מצאתי אותם כבר בשאלה הקודמת החקרתי
בצורה טקסטואלית לפנקס רשימותdataאת החבילות ובזמן שחקרתי העתקתי את כל ה
הזוstringולמטה היה ניתן לראות אותם ב
do.login.x=0&do.login.y=0&username=0rphan&password=hello999450003a46b99400080069e390ac80001ad08e021caab0050c20f9f0915e4aca250180102333b0000504f5354202f20485454502f312e310d0a43616368652
d436f6e74726f6c3a206d61782d6167653d300d0a436f6e6e656374696f6e3a206b6565702d616c6976650d0a446174653a204d6f6e204e6f762032302031323a33332020202b303130300d0a4163636570743a20746578742f6
8746d6c2c206170706c69636174696f6e2f7868746d6c2b786d6c2c206170706c69636174696f6e2f786d6c3b713d302e392c20696d6167652f776562702c20696d6167652f61706e672c202a2f2a3b713d302e380d0a41636365
70742d456e636f64696e673a20677a69702c206465666c6174650d0a4163636570742d4c616e67756167653a2066722d46522c20656e3b713d302e390d0a486f73743a20554e4b4e4f574e2020202020202020200d0a5265666
57265723a20687474703a2f2f7777772e676f6f676c652e66722020202f0d0a557365722d4167656e743a204d6f7a696c6c612f352e3020286950686f6e6520583b20435055206950686f6e65204f5320365f315f34206c696b6520
4d6163204f53205829204170706c655765624b69742f3533362e323620284b48544d4c2c206c696b65204765636b6f292056657273696f6e2f362e30204d6f62696c652f313042333530205361666172692f383533362e32350d0
a436f6e74656e742d4c656e6774683a2035390d0a436f6e74656e742d547970653a206170706c69636174696f6e2f782d7777772d666f726d2d75726c656e636f6465640d0a4f726967696e3a20687474703a2f2f7777772e676f6
f676c652e66722020200d0a557067726164652d496e7365637572652d52657175657374733a20310d0a436f6f6b69653a205f5f75746d613d3235313935383932332e313132343639313631362e313531323832303035302e31
3531323832303035302e313531323832303035302e313b205f5f75746d633d3235313935383932333b205f5f75746d7a3d3235313935383932332e313531323832303035302e312e312e75746d63636e3d2872656665727261
6c297c75746d6373723d656d61696c6164647265737365732e636f6d7c75746d6363743d2f656d61696c5f776562332e68746d7c75746d636d643d726566657272616c3b205f5f75746d623d3235313935383932330d0a0d0a64
6f2e6c6f67696e2e783d3026646f2e6c6f67696e2e793d3026757365726e616d653d30727068616e2670617373776f72643d68656c6c6f393939
אנחנו יודעים שבתוך ה dataשל השכבה השנייה יש את ההדרים של השכבה השלישית ועוד
DATAובתוך ה DATAהזה יש הדרים של השכבה הרביעית ...ולכן ניתן להוציא מה DATAשל
החבילה את כתובת האייפי אחרי חיפוש בתוך ה DATAנוכל להבין שה source IPב byteמספר
13עד 16וה destination IPנמצא ב byteמספר 17עד 20בגלל שניתחתי את פקטה 5שזו
הבקשת HTTPש 0rphanשלח אז הכתובת IPש 0rphanמנסה לגשת אלייה היא 173.8.224.33
כשמנסים להיכנס לדפדפן אנחנו מגיעים לאתר בכתובת softhome.net
כעת נסו למצוא את כתובת ה IP-ממנה שלח 0rphanאת הודעה זו .כתבו את הכתובת, .4
והסבירו כיצד מצאתם אותה.
כמו שאמרתי בסעיף הקודם ה source IPבבקשה היא בין 13ל 16וכמ8ו שאמרתי אני
מנתח את הפקטה החמישית שהיא הפקטה ש 0rphanשלח לשרת ואחרי הניתוח ניתן
למצוא את האייפי והוא 10.200.0.1
האם תוכלו למצוא את מיקומה של כתובת IPזו בעולם? אם לא ,מדוע? .5
לא לא ניתן למצוא את מיקומה של הכתובת בעולם בגלל בגלל שהיא כתובת פרטית
xxx.xxx.xxx.10 הכתובת שלו היא 10.200.0.1ואחד הטווחים לכתובת פרטית הוא
האם בכל זאת תוכלו למצוא רמז כלשהו למיקומו הנוכחי של 0rphanמבקשת ה?HTTP- .6
כן ניתן לראות אזכורים למדינה מסויימת בבקשת ה HTTPשל 0rphan
כמו שניתן לראות בתמונה יש המון אזכורים לצרפת ( )frבגלל שניתן למצוא frשזהוא
קיצור של שם המדינה בהרבה מקומות
החבילה האחרונה היא החבילה היחידה הכוללת כתובת וכמו שניתן לראות בתוך
החבילה הכתובת שהוא מנסה לפנות אליה היא bgworkers.com
חלק ב' – הרשת החשודה
בעוד אתם מנתחים את ההסנפה החשודה ,הצליחה יחידת הסייבר של ה FBI-להתחבר מרחוק
למחשבו האישי של 0rphanברשת פנימית כלשהי .בעזרת המידע שהשגתם מההסנפה ,המשטרה
בטוחה שתוכלו לסייע בהשגת מידע ממחשבו האישי ,ואולי לגלות -איפה עובד ?0rphan
כדי לעשות זאת המשטרה שלחה לכם את כתובת ה IP-דרכה ניתן להתחבר למחשבו של 0rphan
ברשת הפנימית" .תתחברו אליה ב ,SSH-אתם בטח יודעים לעשות זה ,הרי אתם מגשימיסטים,
לא?"...
– SSHתעודת זהות
Secure Shell שם מלא
אפליקציה שכבה
אז מה זה ?SSH
SSHהוא פרוטוקול מאובטח המאפשר לקבל שליטה על מחשב מרוחק .השליטה מתבצעת
באמצעות העברת פקודות בכתב במסוף שנקרא .Shellבמילים אחרות ,זהו למעשה מסך CMD
שאפשר דרכו לבצע כל פעולה על המחשב SSH .היא הדרך הנוחה והנפוצה ביותר כיום לנהל
שרתים מרחוק .כל התקשורת ב SSH-מוצפנת כך שזו גם נחשבת דרך בטוחה לעשות זאת .למזלנו,
התוכנה האהובה Puttyיודעת גם לנהל שיחות ב.SSH-
התחברות לשרת
השתמשו בפרטים שגיליתים בחלק א' אודות 0rphanונסו להתחבר לשרת ה SSH-בכתובת .1
54.71.128.194בפורט ( 2222הפורט המוכר של SSHהוא ,22אבל במקרה זה השרת בחר
בפורט אחר) .זכרו לסמן את האופציה של SSHבמקום .Raw
* לא מצליחים להתחבר? נסו להשעות באופן זמני את הפיירוול של חלונות .הוראות כאן
לאורך כל התרגיל תוכלו להשתמש בפקודות ה CMD-אשר היכרנו לאורך הסמסטר – .2
.nslookup, ping, tracert, ipconfigבנוסף אם תרצו לגשת ב telnet-לשרת השתמשו
בפקודה .telnet
חוקרים את הרשת
כעת אנחנו נמצאים בתוך רשת פנימית .ראשית כל בואו ננסה לברר איפה אנחנו נמצאים .1
ברשת הזאת .נסו לגלות את ה IP-של המחשב ,את מסכת הרשת שלו וכמה מחשבים יש
בתת רשת הזאת (במקסימום) .הסבירו כיצד ביצעתם כל פעולה.
תשובה
האם תוכלו למצוא מחשבים נוספים אשר בוודאות קיימים באותה תת הרשת? איך מצאתם .2
הוכחה לקיומם?
התחלתי בלעשות כמה פינגים פשוטים למחשבים שנמצאים באותה רשת כמו שלי ובגלל
שה Subnet Maskהיא 255.255.255.0אז כל פעם הייתי צריך לשנות את הספרה האחרונה
התחלתי ב 10.200.0.2ולא קיבלתי תגובה ואז ב 10.200.0.3וב 10.200.0.4קיבלתי תגובה
כלומר שאכן יש מחשבים נוספים באותה תת רשת
מצורף צילום מסך
תשובה
האם תוכלו למצוא את כתובת ה IP-של האתר הפנימי אליו ניגש 0rphanבבקשת הDNS- .3
בהסנפות? כיצד? מי ענה לכם?
כן כתובת האייפי הפנימית היא 10.1.1.36ניתן למצוא אותה באמצאות שימוש בפקודה
nslookupאו בפקודה tracertאני אישית התשמשתי ב nslookupכדי למצוא את האייפי וזה
עבד
מי שענה לנו זה השרת DNSשגם הוא פנימי כי שרת DNSאחר יחזיר לי את האייפי
182.61.201.90אבל השרת DNSהפנימי שהכתובת שלו היא 10.1.1.5והוא זה שהחזיר את
האייפי הפנימי
(אני יודע שכל האייפים האלה הם אייפים פנימים בגלל שהוא מתחיל ב 10לפי.10
xxx.xxx.xxxולכן הם אייפים פנימים)
תשובה
האם bgworkers.comנמצא באותה תת רשת כמו המחשב שלנו? הסבירו את תשובתכם. .4
תשובה
האם יש תחנות נוספות ביניכם לבין ?bgworkers.comהסבירו מה עשיתם .עבור כל תחנה .5
כתבו האם היא מחשב או נתב.
כן יש תחנות נוספות וכדי להראות את התחנות נניח שאין בקשה ל DNSבגלל שהוא כבר
שמור לנו ב cacheמהתרגיל הקודם בשביל להבין את השלבים נשתמש בtracert
תחנה :1בתחנה הזו המחשב של ארפן מגיע לנתו של הרשת הפנימית שלו -
10.200.0.100
תחנה :2בתחנה הזו הנתו של הרשת הפנימית של אורפן( )10.200.0.100פונה לנתיו של
הרשת הפנימית של האתר bgworkersשהוא 10.1.1.100 -
תחנה :3בתחנה זו הנתיו של הרשת הפנימית של bgworkersשהוא 10.1.1.100פונה אל
bgworkersבאייפי 10.1.1.36 -
אלה שלושת התחנות בין אורפן אל bgworkers
תשובה
כפי שכבר הבנתם ,על bgworkers.comיושב שרת .HTTPנסו להשתמש בפריט המידע הזה .6
כדי לגלות איפה עובד .0rphanהסבירו מה עשיתם וצרפו צילום מסך .אם גיליתם פרטים
נוספים (לא חובה) כתבו גם עליהם.
אחרי מחקר מעמיק גיליתי שאפשר לעשות telnetל bgworkers.comעם פורט 80וכמו
שחשדתי הבקשה בשרת של אורפן תתן לי תשובה שונה מהתשובה שהייתי מקבל אם הייתי
עושה את זה במחשב שלי
קיבלתי תשובה שונה לגמרי ובה יש תופס התחברות גם תמונה מאוד חשודה של החברה bug
חברה ישראלית שנותנת שירותים ופתרונות טכנולוגיים בנוסף למוצרי הטכנולוגיה שהם
מוכרים ביום יום ולכן אורפן שלנו עובד בחברת באג!!!
תשובה