Puzzle #1 Ann’s Bad AIM

來源：Ann’s Bad AIM

前提摘要：故事內容

AIM：

AIM是AOL所推出的一套即時通訊工具。使用OSCAR立即傳訊協議和TOC協議，並已於2017年12月15日停止服務。

目標：

You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:

1. What is the name of Ann’s IM buddy?

其中，故事內容提到 「Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. 」

1. 過濾 Ann’s IP Address
   ip.addr == 192.168.1.158
2. 通常，AIM 使用 TCP 作為其傳輸協議。AIM file transfer TCP Port 是 5190。將第 24 封包 Decode As AIM，如下圖。Decode As：此功能可讓您臨時轉移特定的協定進行解析
3. 往下看第 25 封包
   
   
   Outgoing Buddy Sec558user1

2. What was the first comment in the captured IM conversation?

1. 查看 23 封包是 "keep alive"。並沒有內容。
2. 24 封包為 TCP 協定
3. 25 封包中的 valueMessage 為第 1 句話
   
   Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)

3. What is the name of the file Ann transferred?

前面提過說

1. 過濾 ip.addr == 192.168.1.158 && tcp.port == 5190
2. 109 - 111 TCP 協定封包為建立連線（three-way handshake），再查看 112 封包下，有個 Data （Application Layer），Follow -> TCP Stream -> Hex Dump
   
3. OFT2 是檔案傳輸協定，file：recipe.docx

4. What is the magic number of the file you want to extract (first four bytes)?

1. docx 魔術數字是 50 4b 03 04 PK.. （檔案魔術數字）
2. 提取 docx 檔案，想知道的是透過 192.168.1.158 傳出去的檔案。將第 3 小題的步驟 2 換成以下方式，並存檔（Save as…）。方式不一定要 Raw
3. 透過 hex 工具將他提取（UltraEdit）要錢，但有 30 天試用
   刪除 PK.. 魔術數字之前的所有 bytes ，在存檔。

5. What was the MD5sum of the file?

1. 線上找個產生 MD5 摘要即可，或著用 Kali 的 MD5sum 工具產生。

6. What is the secret recipe?

1. 第 4 題第 3 步驟，存檔後的檔案內容，會是一個 docx 檔（用 word 開啟）。
2. 如下