[Network] DefCoN#21 #7

문제를 보겠습니다.

Victoria가 지시한 허위적인 웹 사이트를 찾는 문제입니다.

웹 사이트에 대한 정보를 간략하게 보면, 그녀의 계좌 잔고를 확인하기 위해 계좌에 대한 접근 권한을 계속 유지하기로 결정한니까 결국엔, 계좌 관련 (은행) URL 이기 때문입니다.

 

주어진 패킷을 보겠습니다.

[File] - [Export Objects] - [HTTP] 을 들어가면 URL에 대한 정보들을 확인 할 수 있습니다.

정보들을 확인해볼때 은행 관련된 URL들을 확인할 수 있었습니다.

bankofamerica? 라는 키워드를 가지고 구글에 검색을 해보겠습니다.

은행 관련 사이트가 검색이 되네요..! 그러면 .com으로 되어 있는데 위에서 본 패킷은 .net으로 되어 있습니다.\

그래서 networkminer로 parameter를 보니까 접속한 이력들이 보이네요!!

위 와이어샤크에서 3015 패킷에 가보겠습니다.

request를 추출해서 보면 다음과 같습니다.

mboxHost=infocenter.bankofamerica.com&mboxSession=1373056092923-406506&mboxPC=1373056092923-406506.19_30&mboxPage=1373056898233-47366&screenHeight=1024&screenWidth=1280&browserWidth=1280&browserHeight=861&browserTimeOffset=-360&colorDepth=24&mboxXDomain=enabled&mboxCount=1&mbox=bac_global_bottom&mboxId=0&mboxTime=1373035298047&mboxURL=http%3A%2F%2Finfocenter.bankofamerica.com%2Fsmallbusiness%2Fic2%2Fonline-banking%2Fview-balances-account-activity%2F&mboxReferrer=http%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3Dwhy%2520is%2520my%2520bank%2520of%2520america%2520account%2520not%2520working%253F%26source%3Dweb%26cd%3D2%26ved%3D0CD4QFjAB%26url%3Dhttp%253A%252F%252Finfocenter.bankofamerica.com%252Fsmallbusiness%252Fic2%252Fonline-banking%252Fview-balances-account-activity%252F%26ei%3DdS_XUdu5Gei7igLL7YHQDw%26usg%3DAFQjCNEh7nqNYvobnOUp-5_YMQJn7YTKEQ%26bvm%3Dbv.48705608%2Cd.cGE&mboxVersion=41 HTTP/1.1

Host: bankofamerica.tt.omtrdc.net

이 문장을 보시면 중간에 빨간색으로 칠한 부분을 보시면 why is my bank ~~~~로 적혀있습니다.

결국엔, 진짜 URL이 아닌 허쉬 url에 들어가서 작동이 안한다고 합니다.