LabEx
LoginBeitreten

Offengelegte Anmeldedaten finden

WiresharkBeginner
Jetzt üben

Einführung

In dieser Challenge schlüpfen Sie in die Rolle eines Netzwerksicherheitsspezialisten, der ein potenzielles Datenleck in Ihrem Unternehmen untersucht. Ihre Aufgabe ist es, den Netzwerkverkehr mit Wireshark zu analysieren, um festzustellen, ob Benutzeranmeldedaten im Klartext übertragen wurden, was erklären könnte, wie sensible Informationen kompromittiert wurden.

Die Challenge erfordert, dass Sie PCAP-Dateien (Packet Capture) aktueller Netzwerkkommunikation untersuchen, um nach offengelegten Anmeldedaten zu suchen. Durch die Anwendung von Paketanalysemethoden identifizieren Sie Fälle, in denen Benutzernamen und Passwörter möglicherweise ohne ordnungsgemäße Verschlüsselung übertragen wurden, was die entscheidende Bedeutung sicherer Protokolle für die Handhabung von Authentifizierungsdaten unterstreicht.

Offengelegte Anmeldedaten finden

Ihr Unternehmen hat ein potenzielles Datenleck entdeckt. Als Netzwerksicherheitsspezialist müssen Sie den aktuellen Netzwerkverkehr analysieren, um festzustellen, ob Benutzeranmeldedaten im Klartext übertragen wurden, was das Leck erklären könnte.

Aufgaben

  • Erstellen Sie einen Anzeigefilter, um Pakete zu finden, die die Wörter 'user', 'pass' oder 'login' enthalten
  • Identifizieren und extrahieren Sie alle offengelegten Anmeldedaten
  • Dokumentieren Sie die entdeckten Anmeldedaten im erforderlichen Format

Anforderungen

  • Öffnen Sie die Paketaufzeichnungsdatei unter /home/labex/project/network_analysis/company_traffic.pcap mit Wireshark

  • Erstellen Sie einen Anzeigefilter, der Pakete mit möglichen Anmeldeinformationen anzeigt

  • Ihr Filter muss den Paketinhalt nach den Wörtern 'user', 'pass' oder 'login' durchsuchen

  • Speichern Sie Ihren Filter zur Überprüfung, indem Sie nach dem Testen auf die Schaltfläche "+" in der Filterleiste klicken

  • Sobald Sie die Anmeldedaten gefunden haben, speichern Sie diese in einer Datei namens /home/labex/project/network_analysis/found_credentials.txt in folgendem Format:

    username: [found username]
password: [found password]

Beispiele

Wenn Sie den richtigen Filter anwenden, sollte Wireshark nur Pakete anzeigen, die Anmeldeinformationen enthalten. Das Paket mit den Anmeldedaten kann in der Paketliste als HTTP oder TCP erscheinen, konzentrieren Sie sich also auf den übereinstimmenden Paketinhalt und nicht nur auf die Protokollspalte.

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   TCP       193     51234 -> 80 [PSH, ACK] Len=139

Wenn Sie die Paketdetails untersuchen oder dem Stream folgen, sollten Sie die Anmeldeinformationen im Klartext sehen können:

GET /login.php HTTP/1.1
content: username=admin&password=secret123

Ihre Datei found_credentials.txt sollte wie folgt aussehen:

username: admin
password: secret123

Hinweise

  • Starten Sie Wireshark über das Terminal mit dem Befehl wireshark
  • Um die Paketaufzeichnungsdatei zu öffnen, verwenden Sie File > Open und navigieren Sie zum Speicherort der Datei
  • Die Anzeigefilterleiste befindet sich oben im Wireshark-Fenster
  • Um mit OR-Logik nach mehreren Begriffen zu suchen, verwenden Sie or oder den doppelten senkrechten Strich || (zum Beispiel: frame contains "user" or frame contains "pass")
  • Durchsuchen Sie den Paketinhalt, anstatt sich nur auf die Protokollspalte zu verlassen, da die übereinstimmende Anfrage in der Paketliste als TCP-Paket erscheinen kann
  • Wireshark-Filter unterscheiden standardmäßig zwischen Groß- und Kleinschreibung
  • Sie können die Datei mit den Anmeldedaten mit einem beliebigen Texteditor wie nano oder gedit erstellen

Zusammenfassung

In dieser Challenge habe ich gelernt, wie man Wireshark verwendet, um Netzwerkverkehr zu analysieren und potenzielle Sicherheitslücken im Zusammenhang mit der Offenlegung von Anmeldedaten zu identifizieren. Die Aufgabe bestand darin, eine PCAP-Datei des Unternehmensnetzwerkverkehrs zu untersuchen, um Fälle zu finden, in denen Benutzeranmeldedaten im Klartext übertragen wurden, was ein erkanntes Datenleck erklären könnte.

Durch sorgfältige Paketinspektion entdeckte ich eine Anmeldeanfrage, die unverschlüsselte username=admin&password=secret123-Daten enthielt. Je nachdem, wie Wireshark das erstellte Paket analysiert, kann es in der Paketliste als HTTP oder TCP erscheinen. Diese Übung hat daher auch die Bedeutung der direkten Untersuchung von Paketinhalt unterstrichen, anstatt sich nur auf das Protokoll-Label zu verlassen. Diese Übung verdeutlichte die entscheidende Bedeutung der Verwendung verschlüsselter Protokolle wie HTTPS für die Übertragung sensibler Informationen.

✨ Lösung prüfen und üben
Verwandt Wireshark Kurse
Wireshark für Anfänger

Wireshark für Anfänger

cybersecuritywireshark
Cybersicherheitsanalyse mit Wireshark und Tshark

Cybersicherheitsanalyse mit Wireshark und Tshark

cybersecuritywireshark